Postfix: Bekomme keine Fehlermeldungen mehr beim Versand

  • Thread starter Thread starter Hosenträger
  • Start date Start date
H

Hosenträger

Guest
Wenn ich früher eine Mail versandt habe und dabei ein Fehler aufgetreten ist, hab ich entweder noch während des Versandprozesses einen Error bekommen oder später die Fehlermeldung des Empfänger-MTA als Bounce-Mail.
Aktuell ist das nicht mehr der Fall. Die Mail geht immer via lokalen Postfix-Server weg und ich sehe nie, ob ein Fehler aufgetreten ist.

Zum testen habe ich in einer VM nochmal einen komplett frischen, neuen Postfix Server aufgesetzt.

1. Test:
Mail senden an root. Geht.
2. Test:
Mail senden an einen nicht existierenden Linux-Benutzer: Gibt sofort eine Fehlermeldung im Client. So soll es sein.
3. Test:
Mail senden an irgendwas@gmx.net. Gibt von GMX einen Fehler im Postfix-Log, weil ich aus meinem IP-Adressbereich keine Mails versenden darf. (Danke lieber ISP)
Aber im Client sehe ich keinen Fehler, die Mail gilt als versandt.
4. Test:
Den Mailserver meines ISP als Smarthost eingerichtet. Der Versand funktioniert jetzt an alle real existierenden Adressen. Beim Versand an nichtexistierende Adressen erhalte ich jedoch gar keinen Fehler mehr. Nicht mal im Postfix-Log.
5. Test:
smtp2go.com als Smarthost eingerichtet. Der Versand funktioniert ebenfalls an alle real existierenden Adressen. Beim Versand an nichtexistierende Adressen erhalte ich jedoch auch keinen Fehler mehr. Auch nicht im Postfix-Log. Aber auf der Webseite von smtp2go.com kann ich die Hard-Bounces und die Soft-Bounces in einer Liste abrufen.

Ich habe somit keinerlei direktes Feedback mehr, ob bei der Zustellung meiner Mails ein Fehler vorgekommen ist. Ich bin der Meinung, dass dies früher anders war.

Und so wie mein eigener Postfix MTA mir keine Fehler zurück gibt, gibt der ISP-Smarthost-MTA oder smtp2go.com-MTA auch keine Fehler mehr an meinen Postfix-Server. Sonst würde ich das ja zumindest im Log sehen.

Was läuft da falsch?
 
Liegt vermutlich an der Absender-Email-Adresse. Liegt die Absender-Email-Adresse den auf deinem Postfix-Server? Und ist der Postfix-Server auch als MX dafür zuständig?
 
Ja, das ist so im DNS eingetragen.

Ansonsten funktioniert der Empfang und Versand ja auch reibungslos. Das ich keine Unzustellbarkeitmeldungen mehr erhalte, hab ich mehr per Zufall entdeckt, beim Versand eines Newletters. Da ist es nicht unüblich, dass ein geringer Prozensatz der Empfangadressen ungültig geworden sind. Diese hab ich jeweils entfernt. Jetzt ist das nicht mehr möglich.
 
Nur der Empfänger-Mail-Server wird dir mitteilen, dass die Zustellung nicht erfolgreich ist. Deshalb funktioniert dein zweiter Test, dein Mailserver kann die Mail direkt ablehnen.
Beim 3. Test kommt es auch deine Mail-Server-Konfig an. Dein Mailserver sollte eine Bounce-Mail erzeugen und an die Absender-Adresse der Mail senden (also verm. deine). Hast du das vielleicht deaktiviert? Ansonsten kann der Zustellfehler bei GMX auch als temporärere Fehler aufgefasst werden und dein Mailserver versucht es einige Zeit weiter - dann kommt die Bouncemail später.
Bei Test 5 erzeugt smtp2go.com vermutlich keine Bounces, um Backscatter zu vermeiden - und bieten als Alternative eine Webseite, auf der die Bounce aufgelistet sind. Was ähnliches kann es auch bei deinem ISP in Test 4 sein - vielleich legt er die Bounces einfach in dem Postfach ab, welches du zum Login an seinem SMTP-Server verwendest (weil er das Envelope-From umschreibt). Bei den Tests 4 und 5 kann dein Mailserver keinen Fehler in den Logs verzeichnen, da er ja gar nicht mit dem Empfängerserver kommuniziert.
 
Nach ein paar weiteren Tests kann ich nur sagen, dass sich hier wirklich bei meinem ISP etwas geändert haben muss. Der schickt Fehler nicht mehr als Bounce Mail zurück. Bei smtp2go scheint das sogar zum Konzept zu gehören. Irgendwie idiotisch sowas.
 
Nö, ist in Zeiten von SPF/DKIM/DMARC/etc eben nicht idiotisch, sondern notwendig, weil ansonsten die Mailboxen der Nutzer und/oder Postmaster explodieren würden (Backscatter/DoS per false positives/etc).
Logs sind für die Verantwortlichen aka Postmaster völlig ausreichend...
 
Den Zusammenhang mit SPF/DKIM/DMARC und der fehlenden Rückmeldung von Unzustellbarkeitsmeldungen sehe ich jetzt nicht. Im Gegenteil, damit mache ich doch als Absender auch kenntlich, dass die Adresse im return-path in meinen Domain- und IP-Bereich fallen. Etwas anderes wäre es, wenn ich als Bounce-Adresse 'kanstmichmal@finanzamt.de' angeben würde. Aber das ist ja nicht der Fall.

Ausserdem bin ich als Absender meinem ISP oder z.B. smtp2go vertraglich bekannt. Die würden doch da sofort kurzen Prozess mit mir machen, wenn ich versuchen würde, DoS Angriffe zu starten.
 
Wenn ich Deine Mailadresse verwenden würde um massenhaft Spam zu versenden, was glaubst Du, wer die Bounces bekommen aka gedost würde? Jepp, Du. SPF/DKIM/DMARC/etc helfen mir dabei so gar und verschlimmern je nach Konfiguration das Ganze auf Deiner Seite auch noch erheblich.

Dinge wie SPF/DKIM/DMARC/etc haben immer Vor- und Nachteile. Und wenn man sich die Nachteile bewusst zu Nutze macht, dann sind das mächtige Hilfsmittel um kleine Mailserver (Kleinunternehmen/Mittelstand/Wohnzimmerprovider) temporär lahmzulegen.

Deshalb haben alle vernünftigen und erfahrenen Postmaster Bounces mitlerweile nicht mehr aktiviert. Die vollgemüllten Logs sind schon Arbeit genug.
 
Sehe ich jetzt nicht oder steh grad auf der Leitung. Du darfst ja meine Mailadresse gar nicht verwenden. Das ist doch genau der Sinn von einem SPF Record. Wenn du z.B. eine Fakemail mit einer Adresse aus meiner Domain an gmx.de senden würdest, würdest du doch sofort eine Ablehnung noch während der laufenden Session bekommen. In diesem Fall würde auch keine Bounce-Mails irgendwohin versandt und niemand kommt zu Schaden.
 
SPF? Wo ist das Problem? Ich fake einfach den ersten Received und was sonst noch nötig wäre und reihe mich selbst erst an Position 2+ in den Path ein, fertig. Ist nun wirklich nicht so schwer und auch erste Spammer machen das bereits. Wenn man will, faked man so ganze Mailprovider wie GMX.
Das funktionierte übrigens schon vor über 25 Jahren bei Newsgroups exakt so und wird auch in 25 Jahren noch exakt so funktionieren...

DKIM ist nur theoretisch ein Problem, denn praktisch verwendet eigentlich jeder nur relaxed und somit fällt das kaum auf.


Also wo ist jetzt der echte Nutzen von SPF oder DKIM? Solange diese Dinge nicht zwingend vorgeschrieben und von jedem einzelnen Mailserver und Mailclient weltweit korrekt umgesetzt werden, kann man sie problemlos austricksen.
 
Man braucht ja nicht mal Received-Zeilen zu faken. Es kann ja schon ausreichen, über die ISP mit gefälschter eMail-Adresse zu senden. Der nimmt die Mail an, weil er Kundenmails relayen darf. Mail beim ISP erfolgreich losgeworden. Nun baut der ISP-Mailserver eine Verbindung zu GMX auf, GMX lehnt die Mail ab, weil der SPF Record nicht paßt. Ist das erstellen von Bounce-Mails beim ISP aktiv, erstellt dieser nun eine mit der von GMX erhaltenen Fehlermeldung und sendet sie an den vermeintlichen Absender der Mail - also die gefälschte Absender-Adresse. Und genau da liegt das Problem, weshalb z.B. einige Mailrelay-Betreiber statt Bounces abrufbare Listen anzeigen. Andere legen den Bounce in das Postfach, welches für SMTP-Auth verwendet wurde, stellen Bounces also nur lokal zu. Beides Methoden, um Backscatter und Mail-DOS einzudämmen.
 
@Joe User

Hmm, wahrscheinlich bin ich einfach kein guter Cyber Terrorist :D

Aber funktioniert SPF nicht anders? Im SPF-Record sind ja eindeutige IP-Adressen hinterlegt, von wo aus eine Mail einer bestimmten Domain versandt werden darf. In meinen Fall sind das die MX und A meiner Domain und die IP-Adresse vom ISP MTA. Also ich dürfte direkt von meinem Server versenden oder halt über den Proxy meines ISP.

Wenn du jetzt mit deiner IP aber einer Adresse meiner Domain angerannt kommst, spielt es doch gar keine Rolle, wie du den Header fälscht. Du müsstest eigentlich schon bei initialen SMTP Session beim MTA abgewiesen werden.

Was ich nachvollziehen kann, ist das Problem, dass sich ergibt, falls der MTA gar kein SPF oder DKIM prüft. Aber gibt es sowas noch? Und selbst wenn, die könnte man ja einfach blacklisten, falls sie Stress machen.
 
@danton

Ok, ich denke das entspricht auch genau meinem Szenario.

Das Problem liegt also eigentlich darin, dass der MTA vom ISP keine SPF oder DKIM prüft. Das ist auch nicht die Aufgabe eines Proxies.
Und es nutzt auch nichts, dass mich der ISP ja kennt. Botnetze funktioniert ja so, dass nicht ich 1.000.0000 Fakemails versende, sondern 100.000 Bots versenden je 10 Mails. Das fällt dem einzelnen ISP natürlich nicht auf, weswegen er keine Massnahmen macht.

Ach, diese Scheiss-Hacker, wie ich die hasse :mad:

Aber danke für die Antworten.
 
Last edited by a moderator:
SPF ist nur ein DNS-Eintrag, der Informationen liefert, welche IP-Adressen für eine bestimmte Domain Mails versenden dürften (vereinfacht ausgedrückt). Was der Ziel-Mailserver mit dieser Information anfängt, bleibt komplett ihm überlassen. Diese Prüfung findet aber nur beim Zielmailserver statt (wenn ich an GMX schicke, also auf dem GMX-Mailserver und der kennt zum Zeitpunkt der Prüfung nur die gerade einliefernde IP).
Und der SPF gilt immer für die direkte vorhergehende Instanz. Wenn du Mails von deiner Domain über deinen ISP versenden willst (Smarthost), müssen die Mailserver des ISP im SPF-Record stehen und nicht die deines Mailservers.
 
Das mit unserem SPF Eintrag ist so, wie du sagst. Die IP des ISP Mailserver ist drin. Aber auch unser MX und den A Eintrag.

Damit bin ich berechtigt von meinen Mailserver zu versenden (direkt ins Netz oder halt auch an den MTA des ISP) und der ISP ist ebenfalls berechtigt unsere Mails weiter zu versenden. Von daher alles paletti.

Das Problem ist wohl eben eher, dass der ISP nicht unseren SPF prüft, sondern uns als Netzkunde einfach mal gewähren lässt. Damit könnte ich eben auch Fakemails versenden, die erst beim Endempfänger abgewiesen würden.

Aber dann wäre doch die Lösung, dass der ISP einfach nur Mails weiterreicht, wenn zusätzlich auch der SPF oder DKIM stimmt, oder nicht? Denn auch als Proxy ist er ja doch auch ein vollständiger MTA.
 
Der SPF sagt nur etwas über den Server aus, der die Mails beim Ziel abkippt. Für Zwischenstationen ist es nicht geeignet, denn beim ISP werden (von anderen Kunden) auch Mails eingeliefert, wo der SPF eben nicht passt und das völlig OK ist - dafür hat der Provider ja SMTP mit Authentication am Start.
 
Hosenträger said:
Aber funktioniert SPF nicht anders? Im SPF-Record sind ja eindeutige IP-Adressen hinterlegt, von wo aus eine Mail einer bestimmten Domain versandt werden darf. In meinen Fall sind das die MX und A meiner Domain und die IP-Adresse vom ISP MTA. Also ich dürfte direkt von meinem Server versenden oder halt über den Proxy meines ISP.
Click to expand...
Und was hindert mich daran, eine VM mit Deiner IP und ggf. so gar MAC aufzusetzen und von dort aus zu agieren?


Hosenträger said:
Was ich nachvollziehen kann, ist das Problem, dass sich ergibt, falls der MTA gar kein SPF oder DKIM prüft. Aber gibt es sowas noch? Und selbst wenn, die könnte man ja einfach blacklisten, falls sie Stress machen.
Click to expand...
Es gibt da draussen Millionen Mailserver die ohne SPF/DKIM/etc. laufen. In DE sieht man sowas oft bei Behörden, öffentlichen Einrichtungen, Versorgern (Strom/Wasser), Krankenhäusern, Vereinen und auch mehreren Konzernen und Banken. Das ist aber nicht nur in DE so, sondern weltweit und genau deswegen funktioniert das Ganze auch nicht wie gewünscht.


Die schöne Bilderbuch-Theorie hat leider so rein gar nichts mit der gemeinen harten Praxis zu tun.


Glücklicherweise sind Spammer bisher recht konservativ im Adaptieren neuer Techniken, so dass wir Postmaster mittels SPF/DKIM/DMARC/Blacklists/etc. rund 85% des Spams relativ einfach vom Kundenpostfach fernhalten können und wenn wir einige false positives in Kauf nehmen, können wir so gar Quoten von rund 95% erreichen, aber dann meckern halt die Kunden (zu recht).


Mailserver sind halt so ziemlich das Komplexiste was man sich aufhalsen kann und darum raten wir hier in den Foren ja auch oft zum Smarthost oder externen Maildienstleister, statt zum eigenen Mailserver.
Mailserver sind Nix für Laien/Anfänger!
 
Naja, wird Zeit, dass ich da mal den ISP wechseln könnte und eine IP mit eigenen PTR auf unseren MTA bekomme. Leider habe ich diese Alternative bis jetzt noch nicht. Dieses Gebastel mit dem Smarthost ist einfach nicht das Wahre.
 
Und was hindert mich daran, eine VM mit Deiner IP und ggf. so gar MAC aufzusetzen und von dort aus zu agieren?
Click to expand...

Und wie bekommst die IP des fremden Mailservers, die Du Deiner VM verpasst zu Deiner VM zurückgeroutet?

---

Zum Thema DKIM:

Ist das nicht eine gute Vorgehensweise beim Mailempfang, dass man prüft, ob für eine Domain DKIM konfiguriert ist? Alle Mails ohne DKIM-Signatur werden dann abgelehnt. (Das würde man ja wahrscheinlich mittels DMARC konfigurieren.)
 
Joe User said:
Und was hindert mich daran, eine VM mit Deiner IP und ggf. so gar MAC aufzusetzen und von dort aus zu agieren?
Click to expand...
Und sowas würde bei dir dann auch so raus geroutet?

Also ich kann jetzt nicht hier mit einer VM und der IP von GMX an gmx.net senden und noch so tun, als ob ich bei denen von intern komme. :)
 
You must log in or register to reply here.
Back
Top