Zustellprobleme von E-Mails an GMX und web.de wegen SPF-Policy-Fehlern

Seit einigen Tagen erhalten viele Absender Unzustellbarkeitsmeldungen, weil Mailserver von GMX und web.de (die zum gleichen Konzern gehören) E-Mails wegen Verletzung der SPF-Richtlinien ablehnen. Verschiedentlich wurden wir dafür verantwortlich gemacht, unsere Systeme seien nicht richtig konfiguriert und wir stünden wohl auf einer Blacklist. Dem ist aber nicht so. Gern möchten wir Ihnen erläutern, worum es bei diesen Zustellfehlern geht.

Über die Technik „Sender Policy Framework“ (SPF) kann der Besitzer einer Domain (z.B. web.de) festlegen, welche Mailserver im Internet E-Mails mit seiner Domain versenden dürfen. Also: Von welchen Mailservern diese Domain als Absender genutzt werden darf. Hier wird auch festgelegt, wie mit E-Mails zu verfahren ist, die von anderen Mailservern stammen. Nun wird  verschiedenen Anleitungen und Foren empfohlen, in den SPF-Einstellungen die Option „-all“ einzutragen. Dies bewirkt, dass alle anderen Mailserver nicht mit dieser Domain versenden dürfen.

Das Problem: Werden E-Mails von einem User von Provider A an sein Postfach bei Provider B weitergeleitet, bleibt der Originalabsender korrekterweise erhalten — und das neue Zielsystem erhält nun eine E-Mail mit dem ursprünglichen Absender aber nun von einem unbekannten, nicht erlaubten dritten System kommend.

 
Problem Weiterleitungen SPF

GMX und web.de lehnen diese E-Mails seit kurzem ab und folglich gehen diese Unzustellbarkeitsmeldungen zurück an den Absender.

: host mx00.emig.gmx.net[212.227.15.9] said:
     550-Requested action not taken: mailbox unavailable 550-Reject due to SPF
     policy. 550-The originating IP of the message is not permitted by the
     domain owner. 550 For explanation visit
     http://postmaster.gmx.com/en/error-messages?ip=80.241.60.215&c=spf (in
     reply to MAIL FROM command)

 

„Schuld“ ist dabei jedoch nicht der Provider, der die Weiterleitung betreibt (und hier die Unzustellbarkeitsmeldung zurücksenden muss), sondern der Besitzer der Absender-Domain, der über den SPF-Eintrag aktiv und gewollt unterbunden hat, dass seine E-Mails über dritte Provider weitergeleitet werden dürfen.

In Fachkreisen ist die Technik SPF wegen genau dieser Probleme und Nebenwirkungen sehr umstritten; nicht wenige Mailserver-Experten halten es für untragbar E-Mails wegen SPF-Verletzungen direkt abzulehnen und damit defacto E-Mail-Weiterleitungen kaputt zu machen.

GMX und web.de sehen das offensichtlich anders und lehnen diese E-Mails konsequent ab.

 

Betroffen sind damit:

  • Absender von Domains deren Administratoren einen SPF-Eintrag „-all“ vorgenommen haben (dazu gehören auch GMX und web.de)
  • Empfänger bei Providern, die SPF-Einträge hart prüfen und entsprechende E-Mails ablehnen (namentlich GMX und web.de)

 

Nichts damit zu tun hat jedoch

  • der Provider „in der Mitte“ der die weitergeleiteten E-Mails nicht mehr zustellen kann, dessen Name darum in den Unzustellbarkeitsmeldungen auftaucht und bei dessen Support sich Kunden beschweren.

 

mailbox.org kann leider nichts daran ändern

Wer von solchen SPF-Rejects betroffen ist, kann damit schulterzuckend leben — schließlich wird der aktiv konfigurierte Wille des absendenden Anbieters durchgesetzt, der diese Weiterleitungen ja ausdrücklich unterbunden hat. Oder aber er kann mit dem Absender und/oder GMX/web.de die Diskussion führen, ob derartige Einstellungen sinnvoll und hilfreich sind und wie mit den nun unzustellbaren E-Mails umgegangen werden soll.

Eine technisch deutlich ausführlichere Stellungnahme für Postmaster haben wir in unserem Blog bei Heinlein Support veröffentlicht.