Plötzliche Schwierigkeiten bei der Zustellung von Emails an web.de und/oder gmx.de

Was ist passiert?

Böse Überraschung zum Monatswechsel: seit Neuestem lehnen GMX und auch web.de alle Emails ab, welche SPF Informationen verletzen. Speziell Mail-Weiterleitungen sind davon stark betroffen.

Was ist SPF?

SPF steht für „sender policy framework“ – eine im Jahr 2006 via RFC 4408 verabschiedete Methode zur expliziten Autorisierung von Mailservern, um im Namen einer Domain Mails zu versenden. Diese Methode definiert quasi, „welche Server im Internet Emails mit dem Absender power-netz.de versenden dürfen“ (und welche nicht).

Das war vor gut 10 Jahren, wieso wird das jetzt auf einmal zum Thema?

Gute Frage. SPF war/ist von Anfang an in der Postmaster-Gemeinde stark umstritten gewesen. Daher hat es sich nie wirklich flächendeckend etablieren können. GMX und web.de haben vor einigen Tagen aber nun entschieden, dass sie SPF als hartes Filterkriterium nutzen möchten.

Jetzt kommt es reihenweise zu Problem mit der Zustellung, speziell wenn Kontaktformulare oder Email-Weiterleitungen im Spiel sind.

Was genau ist das Problem?

Beispiel:

ein Kunde (Domain IHRNAME.de) veröffentlicht via DNS den folgenden SPF Record:

IHRNAME.de. IN TXT "v=spf1 ip4:198.41.215.0/24 mx -all

Übersetzt bedeutet dies, im Namen von IHRNAME.de dürfen die folgenden IP’s Emails versenden:

  • 198.41.215.0 – 255 (ip4:198.41.215.0/24)
  • Die IP’s aller aktiven MX-Records (mx)
  • sonst niemand (-all)

(Eine weichere Alternative zu -all wäre ~all.  Die Mail sollte nicht geblockt werden, aber u.U. mit negativen Spam-Scoring versehen werden)

Wenn unser Kunde (mail@IHRNAME.de) nun ein Kontaktformular der Firma „Mustermann GmbH) auf einer beliebigen Webseite im Netz (z.B. gehostet bei uns) ausfüllt, wird dieses Kontaktformular eine Email mit der Absenderadresse (mail@IHRNAME.de) erstellen. Empfänger ist dann z.b. ein Postfach bei GMX (webkontakt_mustermann@gmx.de).

Folgendes passiert nun:

  • Unser Server meldet sich bei GMX an und möchte die Email von mail@IHRNAME.de an webkontakt_mustermann@gmx.de einliefern
  • GMX prüft, ob der Absender (mail@IHRNAME.de) SFP Records veröffentlicht und findet den oben beschriebenen Record (mit -all).
  • Da der Kunde im DNS explizit definiert hat, welche IP’s in seinem Namen Mails versenden dürfen und unser Server nicht in dieser Liste auftaucht, wird GMX die Einlieferung der Mail zurückweisen (weil, -all).

Schuld hat hier niemand. Alles funktioniert genau so, wie es der Verantwortliche von IHRNAME.de definiert hat.

Ich habe gehört, es gibt da eine Lösung – nennt sich SRS?

Jein. Grob gesagt bietet SRS (Sender Rewriting Scheme) theoretisch eine Lösung für die Dinge, die von SPF kaputt gemacht wurden. SRS ist aber in den letzten 10 Jahren in keinem der populären opensource-Mailserver integriert worden. Aus guten Grund. Ohne jetzt zu sehr ins Detail gehen zu wollen, wäre bei SRS z.B. unklar, wie eine Kaskadierung von mehreren Weiterleitungen sinnvoll zu regeln wäre.

Insgesamt muss man sagen, SPF & SRS sind (mindestens nach heutigen Gesichtspunkten) nicht sinnvoll durchdacht. Von der Verwendung würden wir abraten.

Was tun, sprach Zeus…

Was Sie als Anwender tun können:

  • Wechseln Sie in Ihren DNS Zonen von -all auf ~all
  • Kontaktieren Sie als Kunde von GMX oder web.de den dortigen Support
  • Verzichten Sie auf die Veröffentlichung von SPF

Was wir als Provider tun können:

  • Informieren und aufklären
  • Prüfen, ob sich SRS irgendwie in unsere Plattformen integrieren lässt

Weiteres Lesematerial?

  • Sehr guter Artikel unserer Kollegen von Heinlein-Support: Link

Für Rückfragen aller Art stehen wir Ihnen jederzeit gerne zur Verfügung.

Dieser Beitrag wurde unter Allgemein, Technik abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.