Mailprobleme

Wie auf verschiedenen IT-Seiten zu lesen war (u.a. http://heise.de/-3225281). Hat die United Internet Group, zu der u.a. GMX und 1&1 gehören, seine Regeln zur Spam-Bekämpfung verschärft. Dies ist erst mal zu begrüßen. Allerdings gibt es mit der eingesetzten Technologie (SPF: Sender Policy Framework) ein generelles Problem, welches anscheinend vielen Domaininhabern bzw. Domainadministratoren nicht bewusst ist.
SPF erlaubt es zu definieren welche Server eine Email einer Domain senden dürfen und zusätzlich wie Emails gehandhabt werden sollen, die nicht von so einem Server versandt wurden. Im Grunde genommen hört sich dies ganz vernünftig an und lässt einen schnell zu dem Schluss kommen: „Es ist meine Domain und ich möchte das NUR mein Server Emails meiner Domain senden darf.“ Also wird schnell in diversen Konfigurationsoberflächen mal so etwas eingetragen: „v=spf1 a mx -all“ oder Optionen gesetzt die das vorgenannte ergeben.

Und damit haben wir den Salat! Häufig wird von unseren Kunden eine liebgewonnene GMX-Adresse (oder auch sehr gerne t-online.de) genutzt und „nur“ eine Email-Weiterleitung von einer bei uns geschalteten Domain eingerichtet. Aber durch den Eintrag „-all“ seitens des Absenders funktioniert die Emailweiterleitung nicht mehr (sofern der Zielserver der Weiterleitung SPF überhaupt auswertet und genau dies wird jetzt von GMX & Co. gemacht). Das Resultat ist, dass viele Emails nun aus diesem Grund abgelehnt werden.

Mal ein Beispiel um das Verhalten zu verdeutlichen:

  1. Emma sendet von emma@example.com eine Email an Klaus (klaus@beispiel.de) und hat festgelegt, dass wirklich nur Ihr Server Emails Ihrer Domain example.com versenden darf.
  2. Klaus hat für seine Emailadresse eine Weiterleitung auf seine GMX-Adresse eingerichet.
  3. Die Email wird vom für beispiel.de zuständigen Server entgegengenommen und stellt fest, dass der absendende Server laut SPF hierzu auch berechtigt ist.
  4. Klaus‘ Server sendet die Email nun an den Emailserver von GMX weiter.
  5. Da aber die Email aufgrund der Weiterleitung nun von Klaus‘ Server kommt, wird die Email – völlig korrekt – vom GMX-Server mit einem Fehler zurückgewiesen.

Der Fehler liegt somit nicht bei Klaus oder GMX, sondern bei Emma!

Wenn man also ein „-all“ in seinen SPF-Einträgen setzt, darf man sich am Ende nicht wundern, das Emails zurückkommen.

Anstatt andere Server direkt zu verbieten sollte man am besten keine Aussage darüber treffen, sondern das Empfängersystem entscheiden lassen, wie es mit solchen Emails verfahren soll. Entsprechende Einstellungen werden durch SPF unterstützt:

  • „~all“ (SoftFail), definiert alle Server als nicht erlaubt, die Emails sollen dennoch angenommen, aber markiert werden
  • „?all“ (Neutral), definiert alle Server als neutral, es wird keine Aussage über die Zuständig getroffen

Damit Emails wieder besser durchkommen sollte man zumindest das „-all“ durch ein „~all“ ersetzen. Der obige Eintrag sollte also besser lauten: „v=spf1 a mx ~all“.
In Kombination mit Spam-Filtern trägt SPF übrigens nur einen sehr kleinen Teil zur Festlegung ob Spam oder ob kein Spam bei.