Am 07.10.2017 um 00:05 schrieb Ralf Mattes:
Am Freitag, 06. Oktober 2017 23:26 CEST, Urs Liska ul@openlilylib.org schrieb:
....
Was ich nicht verstehe, ist, dass die Fehlermeldung von GMX und web.de (in meinem archivierten Post und auf https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf hindeutet, dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den Mailserver zurückverweist. Aber das tut er ja auch nicht, denn er verweist nicht auf den Hostnamen des Postfix-, sondern auf den des Linux-Servers.
Dein Postfix-Server hat keinen "Hostnamen".
Was dann? "myhostname" ist der Name, mit dem der Server sich gegenüber anderen Servern identifiziert, etwa beim HELO http://www.postfix.org/postconf.5.html#myhostname
Der Fehler (siehe LInk oben) deutet darauf hin, dass der PTR-RR nicht korrekt auf den Mailserver zurückführt. Und wenn ich das richtig verstehe, ist das auch klar, denn wenn ich in Postfix z.B. mail.ursliska.de einstelle, wird der Reverse-DNS-Eintrag trotzdem auf XXX.startdedicated.de zurückverweisen.
Heißt das, dass manche großen Provider verlangen, dass sich der Mailserver mit dem echten Servernamen vorstellt? Das kann doch eigentlich fast nicht sein - wie ist es denn, wenn ich als ISP auf einem Server mehrere Mailserver laufen lasse?
Wichtig ist zu vertehen dass ein MX-Eintrag, soll er Standardkonform sein, _nicht_ auf einen CNAME-Eintrag (also einen "Alias") zeigen soll sondern auf den A-Eintrag ... das betrifft erst einmal noch nicht den Reverse-Lookup (Hintergrund und Rationale: wenn der MX auf einen CNAME-Eintrag verweist dann muss der versendende Server noch einen weiteren DNS-Lookup machen um an die IP-Adresse des Empfängers zu kommen. Grosse Provider finden sowas uncool ... ;-)
Wenn ich es richtig verstehe, wird der MX-Eintrag auch nur dafür verwendet, den Server zu finden, wenn eine Mail *an* mich geschickt werden soll. Also: Mail-Adresse irgendwas@ursliska.de, dann wird aus dem MX-Record für ursliska.de entnommen, bei welchem Mailserver man sich anmelden muss. Hier könnte ja problemlos ein virtueller Servername, der echte Hostname oder auch die IP stehen, nicht?
Wenn ich den Mailserver als Subdomain einer "echten" Domain laufen lasse, brauche ich aber einen extra A-Record für diese Subdomain, ja? Der Eintrag mit Subdomain "*" reicht nicht?
Ich muss zugeben, dass ich das Ganze mit jeder Denk-Iteration weniger verstehe. Es kann doch eigentlich nicht sein, dass ich gezwungen bin, auch in Postfix den original-Servernamen zu verwenden, damit der Revers-DNS-Eintrag übereinstimmt, oder? Bevor ich hier dem Support des Providers schreiben kann, müsste ich tatsächlich noch etwas genauer verstehen, was da eigentlich das Problem ist.
Nein, das mit den Reverse-Einträgen sollte nicht zwingend sein (manche Provider bieten das aber als Service an - so das überhaupt geht. Dazu braucht man ja einen "Root"-Server).
Also, ich habe einen Server mit eigener IP gemietet, einen Root-Server, ja. Im Web-Interface des Providers kann ich einen beliebigen Reverse-DNS-Eintrag zu der IP vergeben. Der zeigt vorgegeben (und sicher richtig) auf den Hostnamen des Servers.
Wahrscheinlich ist das eher eine der vielen Spam-Bremsen bei Providern. Wahrscheilich hilft es für Deinen Mailserver zumindest einen SPF-Eintrag zu erstellen (das ist ein TXT-Eintrag den Du ja selbst einrichten kannst). Dann kann der Empfänger im DNS nachsehen ob der Versender überhaupt für eine Domain zuständig ist. Ich könnte mir vorstellen das GMX et al. einen Reverse Lookup machen wenn's für eine Domain _keinen_ SPF-Eintrag gibt.
Laut https://postmaster.gmx.net/de/best-practice prüft GMX einen vorhandenen SPF-Eintrag (scheint ihn aber nicht zu fordern) *und* verlangt einen korrekten PTR-RR. Klar, das geht nochmal zurück zu dem, was ich oben geschrieben habe, aber wenn ich es nicht falsch verstehe, erwartet GMX, dass der Reverse-Record meiner IP-Adresse auf den Namen verweist, den Postfix beim HELO angibt. Wenn das stimmt, habe ich zwei Möglichkeiten:
* Verwende in Postfix den echten Servernamen als myhostname * Verwende in Postfix einen virtuellen Namen wie mail.ursliska.de und setze den Reverse-DNS-Eintrag auf diesen. Zusätzlich muss es dann für mail.ursliska.de einen A-Record geben, der korrekt auf die IP auflöst.
Die erste Lösung scheint ungeeignet, weil ich erstens für diesen Server kein echtes LetsEncrypt-Zertifikat bekomme, und weil ich mit startdedicated.de als Domain wohl auch Gefahr laufe, bei einigen Prüfungen abgelehnt zu werden.
Die zweite Lösung dagegen dürfte die Mail-Prüfung zufrieden stellen. Aber dann habe ich ja einen Reverse-DNS-Eintrag, der nur für den Mailserver korrekt ist. Der Reverse-Eintrag sollte doch auf den Server "als solchen" zeigen und nicht auf eine beliebige darauf gehostete Domain, oder nicht?
HTH & Gruss RalfD
Sorry, ich sehe gerade dass Du ja einen SPF-Eintrag hast. Da sollte es eigentlich keine Probleme geben. Sehen auch andere so:
Hm. Aber genau dieser Check beschwert sich unter der Kategorie Mailserver doch über das Fehlen eines DNS-Eintrags. Oder verstehe ich das falsch und DMARC ist nochmal eine ganz andere Baustelle?
Diesen SPF-Eintrag hatte ich noch nicht, als das Problem ursprünglich auftrat, das spätere Hinzufügen hat aber nichts mehr geändert.
Ich habe es jetzt auch nochmal auf meinem (alten) Server probiert mit ganz sorgfältigen Einstellungen: Postfix-myhostname mail.openlilylib.org SFP-Eintrag in allen Domains MX-Record auf mail.openlilylib.org (ist beim Versenden aber egal) Reverse-Eintrag auf den echten Host.
Eine Mail an meine GMail-Adresse kam an (GMail hatte bisher aber auch kein Problem gemacht), und in den Headern stehen mehrere Hinweise auf eine erfolgreiche SPF-Kontrolle sowie
Received: from mail.openlilylib.org (orion2208.startdedicated.de. [85.25.93.165])
was auf eine korrekte Auflösung des Mail-Servernamens auf den Host und die IP hindeutet.
Ein Versuch, eine Mail an Web.de zu schicken, scheint aber gescheitert zu sein, zumindest habe ich sie noch nicht erhalten.
Ich würde ja sonst einfach auf dem neuen Server rumprobieren, aber nach den bisherigen Erfahrungen würde ich es doch start bevorzugen, wenn der erste Kontakt mit dem Netz gleich "richtig" laufen würde, um nicht gleich von vornherein wieder in irgendwelchen Block-Listen zu landen.
Herzliche Grüße Urs
Freiburger Linux User Group Mail an die Liste: flug@lug-freiburg.de Mailingliste verwalten (u.a. abbestellen): https://lug-freiburg.de/mailman/listinfo/flug