SPF - "It is impossible for us to say why it was rejected."

Mo Jul 10 18:01:40 CEST 2017

On 10.07.2017 13:04, Marc Risse wrote:
> Hallo zusammen,
>
> ich habe ein Phänomen:
> Mein Server akzeptiert die Mails der Ruhr-Uni Bochum nicht und gibt
> mir auch keinerlei Infos warum der SPF-Check negativ ausfällt.
>
> Der Link zu openspf sagt folgendes:
>
> mail at empfänger rejected a message that claimed an envelope sender
> address of sender at ruhr-uni-bochum.de.
> mail at empfänger received a message from out1.mail.ruhr-uni-bochum.de
> (2a05:3e00:8:1001::8693:3595) that claimed an envelope sender address
> of sender at ruhr-uni-bochum.de.
> The domain ruhr-uni-bochum.de has authorized
> out1.mail.ruhr-uni-bochum.de (2a05:3e00:8:1001::8693:3595) to send
> mail on its behalf, so the message should have been accepted. It is
> impossible for us to say why it was rejected.
> What should I do?
> If the problem persists, contact the ruhr-uni-bochum.de postmaster.
>
>
> Log:
> Jul  9 23:33:49 relay postfix/smtpd[4750]: Anonymous TLS connection
> established from
> out1.mail.ruhr-uni-bochum.de[2a05:3e00:8:1001::8693:3595]: TLSv1.2
> with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> Jul  9 23:33:52 relay postgrey[721]: action=pass, reason=triplet
> found, client_name=out1.mail.ruhr-uni-bochum.de,
> client_address=2a05:3e00:8:1001::8693:3595,
> sender=sender at ruhr-uni-bochum.de, recipient=mail at empfänger
> Jul  9 23:33:52 relay postfix/smtpd[4750]: NOQUEUE: reject: RCPT from
> out1.mail.ruhr-uni-bochum.de[2a05:3e00:8:1001::8693:3595]: 550 5.7.1
> <mail at empfänger>: Recipient address rejected: Message rejected due to:
> SPF fail - not authorized. Please see
> http://www.openspf.net/Why?s=mfromblabla;
> from=<sender at ruhr-uni-bochum.de> to=<mail at empfänger> proto=ESMTP
> helo=<out1.mail.ruhr-uni-bochum.de>
> Jul  9 23:33:52 relay postfix/smtpd[4750]: disconnect from
> out1.mail.ruhr-uni-bochum.de[2a05:3e00:8:1001::8693:3595] ehlo=2
> starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8
>
>
> Hattet Ihr so etwas schon mal? Was kann ich tun? Der Postmaster der
> Ruhr-Uni reagiert nicht auf meine Anfrage.
> Hier der SPF-Record:
> ruhr-uni-bochum.de.    74421    IN    TXT    "v=spf1
> exists:%{ir}.%{v}._spfx.ruhr-uni-bochum.de
> exists:%{ir}._ip.%{l}._spfx.ruhr-uni-bochum.de -all"
>
> DNS, SPF und IPv6 funktionieren problemlos, habe echt keine Idee... :(
>
>
>

python3 -m spf   2a05:3e00:8:1001::8693:3595
oejhvmezerpqnf at ruhr-uni-bochum.de "
('pass', 250, 'sender SPF authorized')
exists:%{ir}.%{v}._spfx.ruhr-uni-bochum.de

http://www.openspf.org/RFC_4408#mech-exists

sagt dazu:

i: IP
r: domain name of host performing the check (also meine domain..??)

v: der String ""in-addr" bzw. "ip6"

Wenn ich das "r" mal ignoriere (was hat meine Domain damit zu tun?),
sagt der String: der "a" record zu
5.9.5.3.3.9.6.8.0.0.0.0.0.0.0.0.1.0.0.1.8.0.0.0.0.0.e.3.5.0.a.2.ip6._spfx.ruhr-uni-bochum.de

muss existieren. (a, nicht aaaa)

Tut er auch - daher pass.

Non-authoritative answer:
Name:   
5.9.5.3.3.9.6.8.0.0.0.0.0.0.0.0.1.0.0.1.8.0.0.0.0.0.e.3.5.0.a.2.ip6._spfx.ruhr-uni-bochum.de
Address: 127.0.0.2

Warum da bei Dir ein Fail kommt, versteh' ich dann auch nicht.

Gruß
Gunther

NetCologne Systemadministration
-- 
NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9 ; 50829 Köln
Geschäftsführer:   
  Timo von Lepel,
  Mario Wilhelm  
Vorsitzender des Aufsichtsrates:
  Dr. Andreas Cerbe
  HRB 25580, AG Köln