Am 07.10.2017 um 00:05 schrieb Ralf
Mattes:
Am Freitag, 06. Oktober 2017 23:26 CEST, Urs Liska <ul@openlilylib.org> schrieb:
....
Was ich nicht verstehe, ist, dass die Fehlermeldung von GMX und web.de
(in meinem archivierten Post und auf
https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf
hindeutet, dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den
Mailserver zurückverweist. Aber das tut er ja auch nicht, denn er
verweist nicht auf den Hostnamen des Postfix-, sondern auf den des
Linux-Servers.
Dein Postfix-Server hat keinen "Hostnamen".
Was dann? "myhostname" ist der Name, mit dem der Server sich
gegenüber anderen Servern identifiziert, etwa beim HELO
http://www.postfix.org/postconf.5.html#myhostname
Der Fehler (siehe LInk oben) deutet darauf hin, dass der PTR-RR
nicht korrekt auf den Mailserver zurückführt. Und wenn ich das
richtig verstehe, ist das auch klar, denn wenn ich in Postfix z.B.
mail.ursliska.de einstelle, wird der Reverse-DNS-Eintrag trotzdem
auf XXX.startdedicated.de zurückverweisen.
Heißt das, dass manche großen Provider verlangen, dass sich der
Mailserver mit dem echten Servernamen vorstellt? Das kann doch
eigentlich fast nicht sein - wie ist es denn, wenn ich als ISP auf
einem Server mehrere Mailserver laufen lasse?
Wichtig ist zu vertehen dass ein MX-Eintrag, soll er Standardkonform sein, _nicht_ auf einen CNAME-Eintrag
(also einen "Alias") zeigen soll sondern auf den A-Eintrag ...
das betrifft erst einmal noch nicht den Reverse-Lookup (Hintergrund und Rationale: wenn der MX auf einen
CNAME-Eintrag verweist dann muss der versendende Server noch einen weiteren DNS-Lookup machen um
an die IP-Adresse des Empfängers zu kommen. Grosse Provider finden sowas uncool ... ;-)
Wenn ich es richtig verstehe, wird der MX-Eintrag auch nur dafür
verwendet, den Server zu finden, wenn eine Mail *an* mich geschickt
werden soll. Also: Mail-Adresse irgendwas@ursliska.de, dann wird aus
dem MX-Record für ursliska.de entnommen, bei welchem Mailserver man
sich anmelden muss. Hier könnte ja problemlos ein virtueller
Servername, der echte Hostname oder auch die IP stehen, nicht?
Wenn ich den Mailserver als Subdomain einer "echten" Domain laufen
lasse, brauche ich aber einen extra A-Record für diese Subdomain,
ja? Der Eintrag mit Subdomain "*" reicht nicht?
Ich muss zugeben, dass ich das Ganze mit jeder Denk-Iteration weniger
verstehe. Es kann doch eigentlich nicht sein, dass ich gezwungen bin,
auch in Postfix den original-Servernamen zu verwenden, damit der
Revers-DNS-Eintrag übereinstimmt, oder? Bevor ich hier dem Support des
Providers schreiben kann, müsste ich tatsächlich noch etwas genauer
verstehen, was da eigentlich das Problem ist.
Nein, das mit den Reverse-Einträgen sollte nicht zwingend sein (manche Provider bieten das aber als
Service an - so das überhaupt geht. Dazu braucht man ja einen "Root"-Server).
Also, ich habe einen Server mit eigener IP gemietet, einen
Root-Server, ja.
Im Web-Interface des Providers kann ich einen beliebigen
Reverse-DNS-Eintrag zu der IP vergeben. Der zeigt vorgegeben (und
sicher richtig) auf den Hostnamen des Servers.
Wahrscheinlich ist das eher eine der vielen Spam-Bremsen bei Providern. Wahrscheilich hilft es für Deinen
Mailserver zumindest einen SPF-Eintrag zu erstellen (das ist ein TXT-Eintrag den Du ja selbst einrichten kannst).
Dann kann der Empfänger im DNS nachsehen ob der Versender überhaupt für eine Domain zuständig ist.
Ich könnte mir vorstellen das GMX et al. einen Reverse Lookup machen wenn's für eine Domain _keinen_
SPF-Eintrag gibt.
Laut https://postmaster.gmx.net/de/best-practice prüft GMX einen
vorhandenen SPF-Eintrag (scheint ihn aber nicht zu fordern) *und*
verlangt einen korrekten PTR-RR.
Klar, das geht nochmal zurück zu dem, was ich oben geschrieben habe,
aber wenn ich es nicht falsch verstehe, erwartet GMX, dass der
Reverse-Record meiner IP-Adresse auf den Namen verweist, den Postfix
beim HELO angibt. Wenn das stimmt, habe ich zwei Möglichkeiten:
- Verwende in Postfix den echten Servernamen als myhostname
- Verwende in Postfix einen virtuellen Namen wie
mail.ursliska.de und setze den Reverse-DNS-Eintrag auf diesen.
Zusätzlich muss es dann für mail.ursliska.de einen A-Record
geben, der korrekt auf die IP auflöst.
Die erste Lösung scheint ungeeignet, weil ich erstens für diesen
Server kein echtes LetsEncrypt-Zertifikat bekomme, und weil ich
mit startdedicated.de als Domain wohl auch Gefahr laufe, bei
einigen Prüfungen abgelehnt zu werden.
Die zweite Lösung dagegen dürfte die Mail-Prüfung zufrieden
stellen. Aber dann habe ich ja einen Reverse-DNS-Eintrag, der nur
für den Mailserver korrekt ist. Der Reverse-Eintrag sollte doch
auf den Server "als solchen" zeigen und nicht auf eine beliebige
darauf gehostete Domain, oder nicht?
HTH & Gruss RalfD
> Sorry, ich sehe gerade dass Du ja einen SPF-Eintrag hast. Da sollte es eigentlich keine Probleme geben.
> Sehen auch andere so:
>
> https://mxtoolbox.com/domain/openlilylib.org/
Hm. Aber genau dieser Check beschwert sich unter der Kategorie
Mailserver doch über das Fehlen eines DNS-Eintrags. Oder verstehe
ich das falsch und DMARC ist nochmal eine ganz andere Baustelle?
Diesen SPF-Eintrag hatte ich noch nicht, als das Problem
ursprünglich auftrat, das spätere Hinzufügen hat aber nichts mehr
geändert.
Ich habe es jetzt auch nochmal auf meinem (alten) Server probiert
mit ganz sorgfältigen Einstellungen:
Postfix-myhostname mail.openlilylib.org
SFP-Eintrag in allen Domains
MX-Record auf mail.openlilylib.org (ist beim Versenden aber egal)
Reverse-Eintrag auf den echten Host.
Eine Mail an meine GMail-Adresse kam an (GMail hatte bisher aber
auch kein Problem gemacht), und in den Headern stehen mehrere
Hinweise auf eine erfolgreiche SPF-Kontrolle sowie
Received: from mail.openlilylib.org (orion2208.startdedicated.de. [85.25.93.165])
was auf eine korrekte Auflösung des Mail-Servernamens auf den Host
und die IP hindeutet.
Ein Versuch, eine Mail an Web.de zu schicken, scheint aber
gescheitert zu sein, zumindest habe ich sie noch nicht erhalten.
Ich würde ja sonst einfach auf dem neuen Server rumprobieren, aber
nach den bisherigen Erfahrungen würde ich es doch start bevorzugen,
wenn der erste Kontakt mit dem Netz gleich "richtig" laufen würde,
um nicht gleich von vornherein wieder in irgendwelchen Block-Listen
zu landen.
Herzliche Grüße
Urs
_______________________________________________
Freiburger Linux User Group
Mail an die Liste: flug@lug-freiburg.de
Mailingliste verwalten (u.a. abbestellen): https://lug-freiburg.de/mailman/listinfo/flug
--
ul@openlilylib.org
https://openlilylib.org
http://lilypondblog.org