Error // HELO and DNS MX settings
Nico Funke
nfunke at blocxx.org
So Mai 11 13:30:07 CEST 2025
Hallo zusammen,
ja richtig, es geht um die eingehenden Mails.
Ich habe noch eine Seite gefunden, welche das Problem beschreibt:
https://doku.fietz.net/index.php/Policyd-weight
"
Mail-Zustellungen abgelehnt wegen falschem MX
Leider kommt es immer wieder mal vor, dass Blacklists ihren Betrieb
einstellen. Dann kann es zu falschbewertungen innerhalb von
Policyd-weight kommen. Hier ein Beispiel:
* Fehlermeldung
Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs
* Lösung - Folgende Zeile Kommentieren oder löschen
vi /etc/policyd-weight.conf
# 'rbl.ipv6-world.net', 4.25, 0, 'IPv6_RBL'
* Erklärung
Wenn eine Blcklist offline geht, wie in der Vergangenheit schon
einige male passiert, Fhelen dem Policyd-weight Informationen, so
dass es einer Falschen Bewertung kommen kann.
"
In meiner Konfiguration konnte ich den Eintrag nicht finden.
Daher habe ich den eben nochmal den Cache gelöscht, Policyd-weight
aus geschallten und teste erst mal ohne um es besser eingrenzen zu
können.
Aktuell habe ich diesen SPF DNS Eintrag "v=spf1 a mx
ip4:188.245.190.152 ~all" und denke er ist auch sehr offen um hier
endlich die Lösung zu finden.
Eine Testmail ist eben angekommen.
Ich halte euch auf den laufenden.
Einen schönen Tag.
Best,
Am 07.05.25 um 17:15 schrieb Florian Vierke:
> Hallo Nico,
>
> die DMARC reports sagen dir doch nur, ob dein Traffic AUSGEHEND
> spf/DKIM macht.
> Da scheint ja alles zu passen.
>
> Wenn ich dich richtig verstanden habe, war dein Problem aber doch,
> dass du für EINGEHENDE mails SPF/DKIM anscheinend nicht erfolgreich
> auswertest, so dass dein Mailserver die Mails nicht annimmt..
>
> Was sagen denn die Logeinträge, welche mails eingegangen sind, was
> getestet wurde, was das Resultat war und was daraufhin passiert ist
> (z.B. mail nicht annehmen)?
>
> VG
>
> Florian V.
>
>> On 7. May 2025, at 10:57, Nico Funke via Postfixbuch-users
>> <postfixbuch-users at listen.jpberlin.de> wrote:
>>
>> Hallo zusammen,
>>
>> in den Logs gibt es einen Eintrag mit dem selben Text, welcher
>> auch in der Mail steht.
>>
>> Sonst nichts. Auch habe ich den Cache schon mal gelöscht um
>> solche Fehler auszuschließen.
>> Auch erfolglos.
>>
>> learndmarc.com:
>>
>> DMARC Results
>>
>> --- Connection parameters ---
>> Source IP address: 188.245.190.152
>> Hostname: mail.blocxx.org
>> Sender: nfunke at blocxx.org
>>
>> --- SPF ---
>> Domain: blocxx.org
>> Identity: RFC5321.MailFrom
>> Auth Result: PASS
>> DMARC Alignment: PASS
>>
>> --- DKIM ---
>> Domain: blocxx.org
>> Selector: default
>> Algorithm: (2048-bit)
>> Auth Result: PASS
>> DMARC Alignment: PASS
>>
>> --- DMARC ---
>> RFC5322.From domain: blocxx.org
>> Policy (p=): quarantine
>> SPF: PASS
>> DKIM: PASS
>> DMARC Result: PASS
>>
>> --- Final verdict ---
>> DMARC does not take any specific action regarding message
>> delivery. Generally, this means that the message will be
>> successfully delivered. However, it's important to note that
>> other factors like spam filters can still reject or quarantine a
>> message.
>>
>> ---------------------
>> Thanks for using learndmarc.com
>> This free service is brought to you by URIports.com - DMARC
>> Monitoring Reinvented.
>>
>>
>> Aber auch kein Hinweis.
>> Ich vermute schon fast, dass ich auf irgendeiner mir unbekannten
>> Blockliste bin.
>>
>> In der Tat bin ich aktuell ziemlich ratlos, wo hier der Fehler
>> ist. Rspamd ist letztendlich auch geplant, jedoch wollte ich erst
>> mal ein kleines laufendes Setup haben, da es doch ein umfassendes
>> Tool ist.
>> Hinzu kommt, dass ich ohne Fehlerquelle nicht weiß ob rspamd dann
>> läuft.
>>
>> Für die DMARC und SPF Einträge habe ich auch extra generatoren
>> genutzt und versucht eine so offene Einstellung wie möglich zu
>> wählen um eventuelle Fehler dort zu vermeiden.
>> Ich bin wirklich ratlos.
>>
>>
>> best,
>>
>> Am 02.05.25 um 15:26 schrieb Florian Vierke via Postfixbuch-users:
>>> Hallo Nico,
>>>
>>> steht denn in den Logs etwas hilfreiches, warum dein policyd die Mails rejected?
>>> Allein aufgrund von SPF würde ich keine Mails ablehnen, sonst gehen dir alle Weiterleitungen und viele Mails von Mailinglisten verloren.
>>>
>>> Ansonsten wäre so etwas wie rspamd vielleicht eine Alternative, da läßt sich sehr genau filtern und verstehen, welche Mails angenommen und abgelehnt wurden und warum.
>>>
>>> Viele Grüße
>>>
>>> Florian
>>>
>>>> On 1. May 2025, at 20:19, christian via Postfixbuch-users<postfixbuch-users at listen.jpberlin.de> wrote:
>>>>
>>>> Hast Du schon mal dein Setup per
>>>>
>>>> https://www.learndmarc.com/
>>>> überprüft?
>>>> Christian
>>>>
>>>> Am 14.04.2025 um 18:43 schrieb Nico Funke via Postfixbuch-users:
>>>>> Hallo zusammen,
>>>>> seit längeren verfolgt mich ein Konfigurationsproblem, welches
>>>>> verhindert das mir alle Mails zugestellt werden.
>>>>> Seit dem ich policyd-weight und die SPF Prüfung abgeschaltet habe,
>>>>> kommen fast alle Mails an.
>>>>> Wenn ich auch nur eins der beiden aktiviere erhalte ich keine Mails
>>>>> mehr und lande auf DNSBL Listen, beziehungsweise werden alle
>>>>> eingehenden Mails abgelehnt.
>>>>> Folgende Antwortmail erhalte ich sofort nach absenden, wenn ich mir
>>>>> selbst eine Mail schreibe. (Es gibt noch eine weitere Version das
>>>>> ich noch im Cache bin):
>>>>> Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator
>>>>> to correct HELO and DNS MX settings or to get removed from DNSBLs
>>>>> Ich habe mir bei Spamhaus einen Account erstellt und Postfix
>>>>> konfiguriert.
>>>>> Man kann sehen, dass es etwas bewirkt, jedoch bleibt der
>>>>> grundlegende Error.
>>>>> Mit dem Online Tester mail-tester.com erhalte ich 10 von 10 - jedoch
>>>>> habe ich hier min. einen Fehler.
>>>>> Auch in den Logs nichts auffälliges. Außer dass der selbe Error
>>>>> welcher per Mail verschickt wird, auch als Logeintrag erfolgt.
>>>>> Auch auf dnsbl.info habe ich geprüft ob ich auf Blocklisten bin.
>>>>> Außer auf barracuda.com, war ich auf keiner.
>>>>> Ich schreibe jetzt euch nochmal, weil ich nicht weiß wo ich ansetzen
>>>>> soll.
>>>>> Die beschriebene Errormeldung und das direkte abweisen der Mails ist
>>>>> das einzige was ich beobachte.
>>>>> Kann mit dem beschriebenen jemand etwas anfangen?
>>>>> Der rDNS ist der selbe Name wie der definierte Servername im Postfix.
>>>>> postconf -nf
>>>>> alias_database = hash:/etc/aliases
>>>>> alias_maps = hash:/etc/aliases
>>>>> append_dot_mydomain = no
>>>>> biff = no
>>>>> broken_sasl_auth_clients = yes
>>>>> compatibility_level = 3.6
>>>>> disable_vrfy_command = yes
>>>>> inet_interfaces = all
>>>>> inet_protocols = ipv4
>>>>> local_header_rewrite_clients = permit_mynetworks,
>>>>> permit_sasl_authenticated,
>>>>> permit_tls_clientcerts
>>>>> mailbox_size_limit = 0
>>>>> maillog_file = /var/log/postfix/postfix.log
>>>>> milter_default_action = accept
>>>>> milter_protocol = 6
>>>>> mydestination = $myhostname,admin at blocxx.org,nfunke at blocxx.org,
>>>>> localhost.localdomain, localhost
>>>>> mynetworks = 127.0.0.0/8
>>>>> myorigin = /etc/mailname
>>>>> non_smtpd_milters = $smtpd_milters
>>>>> postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
>>>>> postscreen_dnsbl_sites =
>>>>> spamhaus_ID.zen.dq.spamhaus.net=127.0.0.[2..255]
>>>>> rbl_reply_maps = hash:/etc/postfix/dnsbl-reply-map
>>>>> readme_directory = no
>>>>> recipient_delimiter = +
>>>>> relay_domains = hash:/etc/postfix/relay_domains
>>>>> relayhost =
>>>>> sender_canonical_maps = hash:/etc/postfix/sender_canonical
>>>>> smtp_helo_name = mail.blocxx.org
>>>>> smtp_tls_CAfile = /etc/ssl/blocxx/file.crt
>>>>> smtp_tls_CApath = /etc/ssl/certs
>>>>> smtp_tls_cert_file = /etc/ssl/blocxx/certificate.crt
>>>>> smtp_tls_ciphers = high
>>>>> smtp_tls_key_file = /etc/ssl/blocxx/blocxx.key
>>>>> smtp_tls_loglevel = 1
>>>>> smtp_tls_mandatory_ciphers = high
>>>>> smtp_tls_mandatory_protocols = >=TLSv1.2
>>>>> smtp_tls_protocols = >=TLSv1.2
>>>>> smtp_tls_security_level = encrypt
>>>>> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
>>>>> smtpd_banner = $myhostname ESMTP
>>>>> smtpd_milters = local:opendkim/opendkim.sock
>>>>> smtpd_recipient_restrictions = check_recipient_access
>>>>> hash:/etc/postfix/check_recipient_access_rfc
>>>>> reject_non_fqdn_sender,
>>>>> reject_non_fqdn_recipient, reject_unknown_sender_domain,
>>>>> reject_unknown_recipient_domain, reject_invalid_hostname,
>>>>> permit_sasl_authenticated, permit_mynetworks, reject_rhsbl_sender
>>>>> spamhaus_ID.dbl.dq.spamhaus.net=127.0.1.[2..99],
>>>>> reject_rhsbl_helo
>>>>> spamhaus_ID.dbl.dq.spamhaus.net=127.0.1.[2..99],
>>>>> reject_rhsbl_reverse_client
>>>>> spamhaus_ID.dbl.dq.spamhaus.net=127.0.1.[2..99],
>>>>> reject_rhsbl_sender
>>>>> spamhaus_ID.zrd.dq.spamhaus.net=127.0.2.[2..24],
>>>>> reject_rhsbl_helo
>>>>> spamhaus_ID.zrd.dq.spamhaus.net=127.0.2.[2..24],
>>>>> reject_rhsbl_reverse_client
>>>>> spamhaus_ID.zrd.dq.spamhaus.net=127.0.2.[2..24],
>>>>> reject_rbl_client
>>>>> spamhaus_ID.zen.dq.spamhaus.net=127.0.0.[2..255]
>>>>> reject_rbl_client zen.spamhaus.org=127.0.0.[2..11],
>>>>> reject_rhsbl_sender
>>>>> dbl.spamhaus.org=127.0.1.[2..99], reject_rhsbl_helo
>>>>> dbl.spamhaus.org=127.0.1.[2..99], reject_rhsbl_reverse_client
>>>>> dbl.spamhaus.org=127.0.1.[2..99], warn_if_reject reject_rbl_client
>>>>> zen.spamhaus.org=127.255.255.[1..255] reject_unverified_recipient,
>>>>> reject_unauth_destination, permit
>>>>> smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated,
>>>>> defer_unauth_destination
>>>>> smtpd_sasl_auth_enable = yes
>>>>> smtpd_sasl_path = private/auth
>>>>> smtpd_sasl_type = dovecot
>>>>> smtpd_tls_CAfile = /etc/ssl/blocxx/file.crt
>>>>> smtpd_tls_CApath = /etc/ssl/certs
>>>>> smtpd_tls_auth_only = yes
>>>>> smtpd_tls_cert_file = /etc/ssl/blocxx/certificate.crt
>>>>> smtpd_tls_ciphers = high
>>>>> smtpd_tls_key_file = /etc/ssl/blocxx/blocxx.key
>>>>> smtpd_tls_mandatory_ciphers = high
>>>>> smtpd_tls_mandatory_protocols = >=TLSv1.2
>>>>> smtpd_tls_protocols = >=TLSv1.2
>>>>> smtpd_tls_received_header = yes
>>>>> smtpd_tls_security_level = may
>>>>> tls_high_cipherlist = EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
>>>>> tls_preempt_cipherlist = yes
>>>>> tls_server_sni_maps = hash:/etc/postfix/sni
>>>>> transport_maps = hash:/etc/postfix/relay_domains
>>>>> virtual_alias_maps = hash:/etc/postfix/virtual
>>>>> postconf -Mf
>>>>> smtp inet n - y - - smtpd
>>>>> submission inet n - y - - smtpd
>>>>> -o smtpd_tls_security_level=may
>>>>> -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>>>>> pickup unix n - y 60 1 pickup
>>>>> cleanup unix n - y - 0 cleanup
>>>>> qmgr unix n - n 300 1 qmgr
>>>>> tlsmgr unix - - y 1000? 1 tlsmgr
>>>>> rewrite unix - - y - - trivial-rewrite
>>>>> bounce unix - - y - 0 bounce
>>>>> defer unix - - y - 0 bounce
>>>>> trace unix - - y - 0 bounce
>>>>> verify unix - - y - 1 verify
>>>>> flush unix n - y 1000? 0 flush
>>>>> proxymap unix - - n - - proxymap
>>>>> proxywrite unix - - n - 1 proxymap
>>>>> smtp unix - - y - - smtp
>>>>> relay unix - - y - - smtp
>>>>> -o syslog_name=postfix/$service_name
>>>>> showq unix n - y - - showq
>>>>> error unix - - y - - error
>>>>> retry unix - - y - - error
>>>>> discard unix - - y - - discard
>>>>> local unix - n n - - local
>>>>> virtual unix - n n - - virtual
>>>>> lmtp unix - - y - - lmtp
>>>>> anvil unix - - y - 1 anvil
>>>>> scache unix - - y - 1 scache
>>>>> postlog unix-dgram n - n - 1 postlogd
>>>>> maildrop unix - n n - - pipe
>>>>> flags=DRXhu
>>>>> user=vmail argv=/usr/bin/maildrop -d ${recipient}
>>>>> uucp unix - n n - - pipe flags=Fqhu
>>>>> user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
>>>>> ifmail unix - n n - - pipe
>>>>> flags=F user=ftn
>>>>> argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
>>>>> bsmtp unix - n n - - pipe flags=Fq.
>>>>> user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender
>>>>> $recipient
>>>>> scalemail-backend unix - n n - 2 pipe flags=R
>>>>> user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
>>>>> ${nexthop}
>>>>> ${user} ${extension}
>>>>> mailman unix - n n - - pipe flags=FRX
>>>>> user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
>>>>> ${nexthop}
>>>>> ${user}
>>>>> policyd-spf unix - n n - 0 spawn
>>>>> user=policyd-spf
>>>>> argv=/usr/bin/policyd-spf
>>>>> Best,
>>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20250511/cc387d28/attachment-0001.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 4387 bytes
Beschreibung: Kryptografische S/MIME-Signatur
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20250511/cc387d28/attachment-0001.p7s>
Mehr Informationen über die Mailingliste Postfixbuch-users