SPF Funktionalität testen

Patrick Ben Koetter p at sys4.de
Mo Okt 2 14:46:24 CEST 2023 

Christoph,

* Christoph Kukulies <kuku at kukulies.org>:
> Auf einer Webseite von ionos.de <http://ionos.de/> steht u.a.:
> 
> Senden Sie eine E-Mail an sich selbst.
> Öffnen Sie die Mail und schauen Sie sich den Mail-Header <https://www.ionos.de/digitalguide/e-mail/e-mail-technik/e-mail-header-welche-informationen-enthaelt-er/> (Kopfzeile) bzw. den Quelltext an. Je nach Mail-Client erfolgt dies über das Menü „Ansicht“ oder über das Kontextmenü (rechte Maustaste).
> Der SPF-Eintrag ist mit „Received-SPF“ gekennzeichnet.
> 
> Ich habe mein SPF bei MXTOOLBOX gegengecheckt und habe dort eine positive (grün) Antwort bekommen.
> Wenn ich mir nach obigem Rezept aber eine Email selbst sende und den Header angucke,
> finde ich keinen solchen "Received-SPF". Kann das noch eine Fehlkonfiguration sein? Ich habe dovecot laufen.

Du betreibst Deine eigene Mailinfrastruktur und nutzt nicht die von IONOS,
oder? Wenn Du Deine eigene Mailinfrastruktur betreibst, dann würde ich statt
eines (proprietären) Received-SPF:-Headers einen standardierten
Authentication-Results:-Header erwarten in welchem z. B. stehen könnte:

Authentication-Results: mail.sys4.de; dkim=pass header.d=bsi.bund.de
        header.s=211014-e768-ed25519 header.b=uNMteZR/; dkim=pass
        header.d=bsi.bund.de header.s=211014-e768-rsa header.b=hFfByFmY;
        dmarc=pass (policy=reject) header.from=bsi.bund.de; spf=pass
        (mail.sys4.de: domain of sender at bsi.bund.de designates
        77.87.228.74 as permitted sender)
        smtp.mailfrom=sender at bsi.bund.de

Übersetzt heißt das in etwa:

Der Server mail.sys4.de stellt nach Test fest die Nachricht von
sender at bsi.bund.de hat sowoho den DKIM-Test mit dem Selektor
211014-e768-ed25519 erfolgreich bestanden (pass) als auch den mit dem Selektor
211014-e768-rsa. Damit hat die Nachricht auch den DMARC-Test der Senderdomain
bestanden, welche auf reject gestellt wäre falls es zu Fehlern käme. Zuletzt
stellt mail.sys4.de fest auch der SPF-Test war erfolgreich (pass), denn die
domain of sender at bsi.bund.de listet die IP 77.87.228.74 als autorisiertes
System für die Domain bsi.bund.de.

Programme, welche SPF (und / oder DKIM und DMARC) verifizieren vermerken ihre
Testergebnisse typischerweise in einem Authentication-Results:-Header. Das
könnten z. B. opendkim, dkimpy-milter, amavis und auch rspamd sein.

> Die einzigen spf-bezogenen Einträge, die ich habe, sind:
> 
> main.cf:
> policy-spf_time_limit     = 3600s
> 
> master.cf:
> policy-spf  unix  -  n   n   -   -   spawn
>        user=nobody argv=/usr/bin/policyd-spf

Mit policyd-spf habe ich bisher nicht gearbeitet. Ich weiß nicht was dieses
Skript einfügen würde.

p at rick


-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3886 bytes
Beschreibung: nicht verfügbar
URL         : <https://de.postfix.org/pipermail/postfix-users/attachments/20231002/4ff80a77/attachment.p7s>

Mehr Informationen über die Mailingliste postfix-users