Am 07.10.2017 um 00:05 schrieb Ralf Mattes:
Am Freitag, 06. Oktober 2017 23:26 CEST, Urs Liska <ul(a)openlilylib.org> schrieb:
....
Was ich nicht verstehe, ist, dass die
Fehlermeldung von GMX und web.de
(in meinem archivierten Post und auf
https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf
hindeutet, dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den
Mailserver zurückverweist. Aber das tut er ja auch nicht, denn er
verweist nicht auf den Hostnamen des Postfix-, sondern auf den des
Linux-Servers.
Dein Postfix-Server hat keinen "Hostnamen".
Was dann? "myhostname" ist der Name, mit dem der Server sich gegenüber
anderen Servern identifiziert, etwa beim HELO
http://www.postfix.org/postconf.5.html#myhostname
Der Fehler (siehe LInk oben) deutet darauf hin, dass der PTR-RR nicht
korrekt auf den Mailserver zurückführt. Und wenn ich das richtig
verstehe, ist das auch klar, denn wenn ich in Postfix z.B.
mail.ursliska.de einstelle, wird der Reverse-DNS-Eintrag trotzdem auf
XXX.startdedicated.de zurückverweisen.
Heißt das, dass manche großen Provider verlangen, dass sich der
Mailserver mit dem echten Servernamen vorstellt? Das kann doch
eigentlich fast nicht sein - wie ist es denn, wenn ich als ISP auf einem
Server mehrere Mailserver laufen lasse?
Wichtig ist zu vertehen dass ein MX-Eintrag, soll er
Standardkonform sein, _nicht_ auf einen CNAME-Eintrag
(also einen "Alias") zeigen soll sondern auf den A-Eintrag ...
das betrifft erst einmal noch nicht den Reverse-Lookup (Hintergrund und Rationale: wenn
der MX auf einen
CNAME-Eintrag verweist dann muss der versendende Server noch einen weiteren DNS-Lookup
machen um
an die IP-Adresse des Empfängers zu kommen. Grosse Provider finden sowas uncool ... ;-)
Wenn ich es richtig verstehe, wird der MX-Eintrag auch nur dafür
verwendet, den Server zu finden, wenn eine Mail *an* mich geschickt
werden soll. Also: Mail-Adresse irgendwas(a)ursliska.de, dann wird aus dem
MX-Record für ursliska.de entnommen, bei welchem Mailserver man sich
anmelden muss. Hier könnte ja problemlos ein virtueller Servername, der
echte Hostname oder auch die IP stehen, nicht?
Wenn ich den Mailserver als Subdomain einer "echten" Domain laufen
lasse, brauche ich aber einen extra A-Record für diese Subdomain, ja?
Der Eintrag mit Subdomain "*" reicht nicht?
Ich muss zugeben, dass ich das Ganze mit jeder
Denk-Iteration weniger
verstehe. Es kann doch eigentlich nicht sein, dass ich gezwungen bin,
auch in Postfix den original-Servernamen zu verwenden, damit der
Revers-DNS-Eintrag übereinstimmt, oder? Bevor ich hier dem Support des
Providers schreiben kann, müsste ich tatsächlich noch etwas genauer
verstehen, was da eigentlich das Problem ist.
Nein, das mit den Reverse-Einträgen
sollte nicht zwingend sein (manche Provider bieten das aber als
Service an - so das überhaupt geht. Dazu braucht man ja einen "Root"-Server).
Also, ich habe einen Server mit eigener IP gemietet, einen Root-Server, ja.
Im Web-Interface des Providers kann ich einen beliebigen
Reverse-DNS-Eintrag zu der IP vergeben. Der zeigt vorgegeben (und sicher
richtig) auf den Hostnamen des Servers.
Wahrscheinlich ist das eher eine der vielen
Spam-Bremsen bei Providern. Wahrscheilich hilft es für Deinen
Mailserver zumindest einen SPF-Eintrag zu erstellen (das ist ein TXT-Eintrag den Du ja
selbst einrichten kannst).
Dann kann der Empfänger im DNS nachsehen ob der Versender überhaupt für eine Domain
zuständig ist.
Ich könnte mir vorstellen das GMX et al. einen Reverse Lookup machen wenn's für eine
Domain _keinen_
SPF-Eintrag gibt.
Laut
https://postmaster.gmx.net/de/best-practice prüft GMX einen
vorhandenen SPF-Eintrag (scheint ihn aber nicht zu fordern) *und*
verlangt einen korrekten PTR-RR.
Klar, das geht nochmal zurück zu dem, was ich oben geschrieben habe,
aber wenn ich es nicht falsch verstehe, erwartet GMX, dass der
Reverse-Record meiner IP-Adresse auf den Namen verweist, den Postfix
beim HELO angibt. Wenn das stimmt, habe ich zwei Möglichkeiten:
* Verwende in Postfix den echten Servernamen als myhostname
* Verwende in Postfix einen virtuellen Namen wie mail.ursliska.de und
setze den Reverse-DNS-Eintrag auf diesen. Zusätzlich muss es dann
für mail.ursliska.de einen A-Record geben, der korrekt auf die IP
auflöst.
Die erste Lösung scheint ungeeignet, weil ich erstens für diesen Server
kein echtes LetsEncrypt-Zertifikat bekomme, und weil ich mit
startdedicated.de als Domain wohl auch Gefahr laufe, bei einigen
Prüfungen abgelehnt zu werden.
Die zweite Lösung dagegen dürfte die Mail-Prüfung zufrieden stellen.
Aber dann habe ich ja einen Reverse-DNS-Eintrag, der nur für den
Mailserver korrekt ist. Der Reverse-Eintrag sollte doch auf den Server
"als solchen" zeigen und nicht auf eine beliebige darauf gehostete
Domain, oder nicht?
HTH & Gruss RalfD
Sorry, ich sehe gerade dass Du ja einen SPF-Eintrag
hast. Da sollte es eigentlich keine Probleme geben.
Sehen auch andere so:
https://mxtoolbox.com/domain/openlilylib.org/
Hm. Aber genau dieser Check beschwert sich unter der Kategorie
Mailserver doch über das Fehlen eines DNS-Eintrags. Oder verstehe ich
das falsch und DMARC ist nochmal eine ganz andere Baustelle?
Diesen SPF-Eintrag hatte ich noch nicht, als das Problem ursprünglich
auftrat, das spätere Hinzufügen hat aber nichts mehr geändert.
Ich habe es jetzt auch nochmal auf meinem (alten) Server probiert mit
ganz sorgfältigen Einstellungen:
Postfix-myhostname
mail.openlilylib.org
SFP-Eintrag in allen Domains
MX-Record auf
mail.openlilylib.org (ist beim Versenden aber egal)
Reverse-Eintrag auf den echten Host.
Eine Mail an meine GMail-Adresse kam an (GMail hatte bisher aber auch
kein Problem gemacht), und in den Headern stehen mehrere Hinweise auf
eine erfolgreiche SPF-Kontrolle sowie
Received: from
mail.openlilylib.org (orion2208.startdedicated.de. [85.25.93.165])
was auf eine korrekte Auflösung des Mail-Servernamens auf den Host und
die IP hindeutet.
Ein Versuch, eine Mail an Web.de zu schicken, scheint aber gescheitert
zu sein, zumindest habe ich sie noch nicht erhalten.
Ich würde ja sonst einfach auf dem neuen Server rumprobieren, aber nach
den bisherigen Erfahrungen würde ich es doch start bevorzugen, wenn der
erste Kontakt mit dem Netz gleich "richtig" laufen würde, um nicht
gleich von vornherein wieder in irgendwelchen Block-Listen zu landen.
Herzliche Grüße
Urs
_______________________________________________
Freiburger Linux User Group
Mail an die Liste: flug(a)lug-freiburg.de
Mailingliste verwalten (u.a. abbestellen):
https://lug-freiburg.de/mailman/listinfo/flug
--
ul(a)openlilylib.org
https://openlilylib.org
http://lilypondblog.org