SPF Fail über protection.outlook.com

W

wakko

Member
[gelöst] SPF Fail über protection.outlook.com

Hallo zusammen,
die Office-Software in unserem Büro wurde vor kurzem auf MS Office 365 umgestellt. Dabei hat auch Outlook 365 Einzug gehalten. Im Vergleich zu Lotus Notes ist das natürlich viel schöner, allerdings landen Mails von meiner privaten an die Firmenadresse im Spamverdacht, und zwar wegen SPF. Dass SPF unter bestimmten Umständen Probleme machen kann, wenn da Mails irgendwie weitergelitten werden ist mir bekannt (hab ich mir mal hier in einem anderen Thread erklären lassen), aber was macht dieser Server protection.outlook.com bzw. der Mailserver meines Arbeitgebers da?
Edit:
Meine private Mail geht per SMTP-Auth über meinen privaten Mailserver mit korrektem RDNS (auch für IPv6) und die Mails werden sogar von outlook.com/hotmail/yahoo/gmx/gmail etc. empfangen. Da diese Dienste recht strenge Kriterien haben um Mails anzunehmen, dachte ich, das müsste stimmen...
End Edit
Die Fehlermeldung im (anonymisierten) Mailheader sieht so aus:
Authentication-Results: spf=fail (sender IP is MY_COMPANY_MAIL_IP)
smtp.mailfrom=MY_OWN_DOMAIN; MY_COMPANY_NAME.mail.onmicrosoft.com; dkim=none
(message not signed) header.d=none;MY_COMPANY.mail.onmicrosoft.com; dmarc=none
action=none header.from=MY_OWN_DOMAIN;
Received-SPF: Fail (protection.outlook.com: domain of MY_OWN_DOMAIN does
not designate MY_COMPANY_MAIL_IP as permitted sender)
receiver=protection.outlook.com; client-ip=MY_COMPANY_MAIL_IP;
helo=MY_COMPANY_MAIL_SERVER_NAME;
Click to expand...
Warum glaubt protection.outlook.com, dass die Mail von der IP meines Arbeitgebers kommt? Leiten die das irgendwie an M$ weiter um es dann an mich/Online-Exchange zuzustellen?
Wer hat da was schlecht konfiguriert? Ist mein SPF-Eintrag nicht in Ordnung? Der sieht zur Zeit so aus:
v=spf1 a mx -all
Click to expand...
Muss ich den noch ergänzen?
Sorry, so viele Fragen, aber SPF find ich schon verwirrend genug und das ist gerade der erste Fall, wo das was kaputt macht...
 
Last edited by a moderator:
Interessant wären in dem Zusammenhang auch die Received-Zeilen deiner Mail.
Office 365 ist ein Cloud-Produkt und deine Firma hat sich anscheinend dazu entschieden, die Mailserver von Microsoft zu nutzen statt eigene zu verwenden. Vielleicht ist eure Migration von Lotus Notes zu Office 365 noch nicht vollständig abgeschlossen, so dass die Mails der umgestellten User erst zur Firma gehen und dann an die MS-Server weitergeleitet werden (der Mailserver in eurer Firma entscheidet, was in die Altwelt geht und was zu MS). Dann sieht es für die MS-Mailserver so aus, als wenn die Mail von den Mailservern deiner Firma kommt und die darf laut deinem SPF nicht für deine Domain senden.
Dein SPF ist also soweit erstmal in Ordnung, andere, die eurer Firma schreiben und einen SPF-Record haben, werden ebenfalls diese Probleme haben.
 
wakko said:
Received-SPF: Fail (protection.outlook.com: domain of MY_OWN_DOMAIN does not designate MY_COMPANY_MAIL_IP as permitted sender)
Click to expand...
Es gibt diverse Online-Tools, mit denen man SPF-Records auf Richtigkeit testen kann, z.B. dieses hier.
Eventuell ist der SPF-Record von MY_OWN_DOMAIN ja doch kaputt...

Edit da haben sich die Beiträge überschnitten...

Schnelle und schmutzige Lösung für Dich wäre MY_COMPANY_MAIL_IP mit in den SPF-Record aufzunehmen.
Falls Dantons Vermutung zutrifft ist der Mailserver Deiner Firma aber ernsthaft kaputt. Genauer gesagt fehlt das SRS.
 
Last edited by a moderator:
Danke für die Antworten. Das Tool zum Prüfen der SPF Records hab ich direkt gebookmarked. :) Behauptet aber, dass meiner in Ordnung ist.
Die gesamte Received-Chain war mir zu anstrengend zu anonymisieren, insbesondere weil die obersten outlook.com EInträge IPv6 sind. Aber nach nochmaligem draufschauen sieht das so aus wie Danton beschrieben hat und ich auch schon vermutet hatte. Offenbar wird meine Mail von mir an den Firmen-Mailserver geschickt und von da nochmal an outlook.com zugestellt. Die Migrration auf Office365 ist noch nicht lange her, evtl. läuft da noch ein Provisorium (in den Received Zeilen steht ziemlich weit unten was von "IBM Domino Release 9.0.1FP8", das sieht noch schwer nach einem Lotus/IBM Notes Server aus...).
Das mit den Ausnahmen eintragen werde ich mir sparen. Ich hatte irgendwann mal eine vergessen, die dann ein paar Jahre später für Probleme gesorgt hat...
Ich werde werde mal die IT fragen ob da noch andere Probleme haben und ggf. auf SRS hinweisen. Aber die Mühlen mahlen langsam...
Danke schonmal.
 
You must log in or register to reply here.
Back
Top