Willkommen im User-Forum von mailbox.org
 
Neues Thema
mailbox.org UserforumThemaProblemAllgemeines
Eigenschaften
Kategorie Allgemeines
Tags Bug

System-Mails von mailbox.org werden wegen DMARC-Policy und fehlendem SPF und DKIM abgewiesen

5990104 hat dies geteilt, 9 Tage her
veröffentlicht

Hallo zusammen,

ich habe ein Problem bezüglich der Zustellung von System-Mails (wie z.B. Unzustellbarkeitsberichte / Delivery Status Notifications, DSNs) von mailbox.org an eine externe E-Mail-Adresse, die ich in meinem mailbox.org-Account als alternative Absenderadresse hinterlegt habe.

Problembeschreibung:

Wenn mailbox.org versucht, eine System-Mail bezüglich eines Zustellungsfehlers oder -status von einer ihrer Subdomains (in meinem Fall war es mout-u-204.mailbox.org, Absender mailer-daemon@mout-u-204.mailbox.org) an meine externe Adresse zu senden, wird diese von meinem empfangenden Mailserver abgewiesen.

Der Grund für die Abweisung ist folgender:

(1) DMARC-Policy: mailbox.org hat für seine Domains (und Subdomains) eine DMARC-Policy mit p=reject veröffentlicht.

(2) Keine DKIM-Signatur: Die betreffenden System-Mails von der Subdomain mout-u-204.mailbox.org sind nicht DKIM-signiert.

(3) Fehlender SPF-Eintrag: Für die spezifische Subdomain mout-u-204.mailbox.org existiert kein SPF-Eintrag im DNS von mailbox.org.

Aufgrund dieser Konstellation (kein SPF-Eintrag und keine DKIM-Signatur) schlägt die DMARC-Prüfung auf der Seite meines empfangenden Mailservers fehl und die E-Mail wird gemäß der von mailbox.org vorgegebenen DMARC-Policy abgewiesen. Dies betrifft E-Mails, die direkt von der Infrastruktur von mailbox.org an meine externe, als alternativer Absender fungierende Adresse gesendet werden.

Gibt es hier weitere Nutzer, die ebenfalls von diesem Konfigurationsfehler auf Seiten von mailbox.org betroffen sind?

Vielen Dank!

3 Ich habe das gleiche Problem 0  

Antworten (1)

Foto
1
Frogger 8 Tage her

Wenn mailbox.org für sich selbst keine Ausnahme im eigenen System festgelegt hat, müsste das sogar alle Kunden betreffen. Zudem wird auch im SPF-RFC eindeutig empfohlen, jeden sendenden Host mit einer Regel wie "v=spf1 a -all" auszustatten, als zusätzliche Sicherheit, und um genau solche Probleme zu vermeiden.

Ich würde auf jeden Fall mal ein Ticket im Support-System aufmachen.

Antworten
Foto
2
5990104 8 Tage her

Ja, ein Ticket hatte ich bereits eingereicht. Die Antwort vom Support war aber nicht hilfreich:

„Eine Änderungen an unseren SPF Eintragungen werden wir nicht ausführen, da diese ansonsten so überall funktioniert.“

Deshalb suche ich nach weiteren Betroffenen, damit mailbox.org seinen Konfigurationsfehler behebt.

Danke auch für den Hinweis auf den RFC. Dieser ist ein Beleg dafür, dass die DNS-Einträge von mailbox.org derzeit nicht den technischen Richtlinien entsprechen.

Foto
1
8704261 8 Tage her

Hallo,

ich sehe auch Fehler in den DMARC-Reports für meine Domain, die ich so nicht erwartet habe. Sender ist immer ein Server von mailbox.org, allerdings verschiedene. Die Fehler betreffen mal DKIM, mal SPF, das nächstemal ist dann wieder alles ok.

Ich bin noch ganz am Anfang mit meiner Nachsuche, kann also nicht sagen, ob wir beide über das selbe Problem sprechen. Aber momentan kann ich mir nicht erklären, warum die eine Mail von A an B gültig sein soll, die folgende (ebenfalls A nach B) aber auf einmal nicht mehr. Der einzige Unterschied scheint der sendende Mailserver zu sein, aber auch hier kann ich nicht "den einen kaputten" identifizieren.

Foto
1
Frogger 8 Tage her

Ich muss es leider so sagen: Peer Heinlein sollte dringend mal prüfen, wen er so im First-Level-Support beschäftigt. Es ist traurig zu sehen, dass man von der Support-Abteilung eines kleinen bis mittelständischen Unternehmens bereits Antworten bekommt, wie man sie sonst von desolaten Großkonzernen gewohnt ist. Das nimmt dem Unternehmen viel von seiner Sympathie.


@8704261 Nein, hier geht es um etwas anderes. Wenn du regulär E-Mails versendest, steht der Ausgangs-Server nicht im Absender-Feld, und mit DMARC-Reports muss man generell vorsichtig sein. Diese werden vom empfangenden Server generiert, und so kann auch leicht eine Fehlkonfiguration des Empfängers dahinter stecken.

Foto
1
8704261 8 Tage her

@Frogger Ja, gut möglich, daß ich die Reports noch nicht richtig verstehe: Aber "Source IP" ist doch der Mailserver, von dem die fragliche Nachricht beim Reporting Server eingeliefert wurde, oder? Das ist bei mir immer einer von mailbox.org. Entweder jemand anders sendet Spam unter meiner Domain zufällig auch von mailbox.org aus (kann ich mir weniger vorstellen), oder die Reports beziehen sich auf meine eigenen Mails. Wenn das so ist, dann weiß ich ich, von wo die Mails wohin gehen sollten - und ich verstehe nicht, warum die eine gültig sein soll, die nächste aber nicht (bei gleichem Absender und Empfänger.)

Aber Du hast recht, da könnte noch ein grundlegendes Verständnisproblem auf meiner Seite vorliegen. ;-)

Foto
1
5990104 8 Tage her

Das Ticket war von mir explizit als Bug/Fehlkonfiguration eingereicht worden. Deshalb hatte ich erwartet, dass es von jemandem mit mehr technischem Sachverstand bearbeitet wird. Ich hoffe, dass nun der Second-Level-Support übernimmt, nachdem ich das Ticket um einen Hinweis auf den RFC ergänzt habe.

Ich mag mir gar nicht vorstellen, dass mailbox.org mit Hinweisen auf sicherheitskritische Bugs auch so umgeht.

Foto
1
Frogger 8 Tage her

Eine andere Möglichkeit, das Problem zu lösen, wäre die DMARC-Regel "sp=none". Damit würden die Subdomains von der Prüfung ausgenommen.

Foto
4
mailbox.org Support 8 Tage her

Hallo und vielen Dank für das Feedback. Diese Antwort des Supports ist so natürlich wenig hilfreich, da haben Sie Recht. Das wird so nicht mehr vorkommen. Wir haben den Vorgang an einen unserer Postmaster eskaliert und wir schreiben hier, sobald uns mehr Informationen vorliegen.

Mit herzlichen Grüßen

Ihr mailbox.org-Team


---

Ein paar nützliche Links:

155bf1e6f39ed321ec27e5d5d44e8c95

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen
© 2025 mailbox.org