XF2.2 Email, Server und IP-Config

[otto]

Hallo,

blöde Fragen....

Ich hab 2 IPs. Die Haupt-IP und die Zweit-IP. Das alles bei Hetzner.

Aktuell:
Haupt-IP = Plesk = s1.domain.de
Zweit-IP = s2.domain.de, sowie mehrere andere Domains (Wordpress, Foren) =

So die aktuelle DNS-Konfig bei Hetzner:

Grün = von mir eingetragen
Rest war bereits vorgetragen von Hetzner.

Da die meisten weiteren Domains auf der Zweit-IP laufen, hatte ohne den Eintrag "s2..." sofort die Telekom ein Problem mit meinen Mails. Wohl wegen des fehlenden rDNS Eintrags für s2.domain.de unter der Zweit-IP

Seit dem s2 Eintrag ist der Test unter: MultiRBL.valli.org - Blacklist, Whitelist and FCrDNS check tool OK.


Da ich aber auch ein paar Weiterleitungsdomains (privater kram) auf der Haupt-IP habe, habe ich auch diese getestet und sie scheint jetzt ebenso OK.

Hier mal die Email von Tosa (Telekom Abuse) auf meine Nachfrage wegen der Blockade:

On Wed, 9 Mar 2022 22:29:56 +0100, you wrote:

>Zweit-IP

Bei der IP-Adresse Zweit-IP sind die technischen Voraussetzungen
zum Betrieb eines Mailsystems nach internationalen Standards derzeit
nicht gegeben.

Die IP-Adresse Zweit-IP löst zu "s2.domain.de" auf; der Name
"s2.domain.de" löst aber zu keiner IP-Adresse auf:

| Zweit-IP » s2.domain.de » NOT FOUND » NOT OK!

Bei einem Mailsystem müssen nach den internationalen Standards (hier:
RfC 1912) der Hostname und die IP-Adresse sowohl vorwärts als auch
rückwärts passend in der Domäne des Betreibers auflösen ("FCrDNS"). Die
Konfiguration sollte also aussehen wie folgt:

| Zweit-IP » <aussagekräftiger Hostname> » Zweit-IP

Eine Überprüfung können Sie selbst vornehmen unter dem URL
<http://multirbl.valli.org/fcrdns-test/Zweit-IP.html>. Nach
erfolgter Anpassung der DNS-Konfiguration melden Sie sich bitte wieder
bei uns.

Wir möchten generell keine E-Mails von Hosts annehmen, deren Betreiber
für Außenstehende de facto anonym ist. Bitte beachten Sie dazu zunächst
die Hinweise in unserer "Postmaster-FAQ", insbesondere in Abschnitt 4.1,
unter <https://postmaster.t-online.de/>:

| Eine IP-Adresse eines Mailservers muss einen FQDN (PTR-Record, rDNS)
| in einer Domain besitzen, die dem Betreiber dieses Mailservers gehört.
| Dieser FQDN muss zur selben IP-Adresse (A-Record) auflösen. (Details
| findet man im RFC 1912 und im Wikipedia-Artikel zum FcrDNS.)
|
| Insbesondere empfehlen wir, den Hostnamen so zu wählen, dass seine
| Nutzung als Mailserver für Außenstehende erkennbar ist (z. B.
| mail.example.com), und >>> sicherzustellen, dass die Domain zu einer
| Website führt, die eine Anbieterkennzeichnung mit sämtlichen
| Kontaktdaten beinhaltet. <<<

Mit freundlichen Grüßen

Ehe ich die nun anschreibe das ich was gemacht habe um das Problem zu lösen...

Reicht das nun aus? Oder sind bei Hetzner bei der DNS-Konfig weitere Sachen zu machen? SendMail läuft nicht auf dem Server, aber Dovecot und Postfix. Die Dmomains unter welcher Emails versandt werden sind bisher noch bei Strato gehostet, nicht bei Hetzner. Bei Hetzner hab ich einzig die Domain für den Server/Plesk.

Tipps? Aufschreie?

Ich mach das einfach zu selten, das ich mir gemerkt hätte was ich mal vor 4 Jahren damals noch bei Strato konfiguriert hatte um genau solche Probleme zu vermeiden. ;-)

 

[otto]

Fakt ist, das ich das:


auch bei ALLEN anderen Domains erreichen muss - aber fragt mich nicht was ich damals alles konfiguriert hatte dass diese Domain bez. Email sauber eingestellt ist.

Beim Server selbst schauts noch düster aus:


Und bei einer anderen Domain fehlt mir noch der rDNS Eintrag, aber kann der überhaupt für mehrere Domains gesetzt werden? Sprich wie soll eine IP auf mehrere Domains auflösen? Denkfehler? Oder sollte man doch besser für jede Domain eigene eigene IP-verschwenden?

 

[Tealk]

Ich bin grad ein wenig verwirrt, was ist eig. dein Hauptproblem?

Also normal hat dein Mailserver ja eine Domain, diese hat eine IP. Nur weil du mehrere Mailadressen auf einem Mailserver hast, hat der Mailserver nicht mehrere Domains. Wenn du den Mailserver über mehrere Domains erreichen willst könnte das mit einem CNAME oder gegebenenfalls mit einem ALIAS record gehen, weiß aber nicht ob das dann bei den Mailservern einen Fehler gibt bei der Gegenprüfung.

 

[otto]

Die Mail-Konfig als ganzes... und zwar so, dass man auch als nicht Spamer, nicht auf Sperrlisten landet oder zumindest nicht grundlos.

T-kom blockt meine Emails, wegen des fehlenden rDNS - das ist behoben, hatte ich nach dem überstürtzten Umzug der ganzen Projekte und des Servers zu einem anderen Anbieter im Dschungel der Konfig schlicht vergessen. Ich war 20 Jahre Strato gewohnt, und bei Hetzner ist da vieles anders bei der Konfig, weils teils komplexer, teils besser aber teils eben auch einfach noch unübersichtlicher ist als bei Strato ohnehin schon.

Um IP-Sperren weniger verheerend zu machen (wie man sieht, kanns einen auch schnell mal selbst erwischen weil man was nicht korrekt konfiguriert/ übersehen hatte) hab ich 2 IPs, eine fürs Hobby und eine für die offiziellen Projekte.

Ich mach mir mal nach dem WE nen Kopf wie ich das alles mal schematisch darstellen kann das man als fremder das bisl besser überblickt.

Im Grunde gehts mir darum, zu erfahren, wo sind die bekannten Stolperstellen, wo man schon allein durch falsche oder fehlende Konfig auf Blocklisten landen kann, ohne auch nur eine Spam-Mail versandt zu haben. Bei der Telekom reichte der fehlende rDNS Eintrag schon aus, um gleich mal zu blocken. Die Info gabs freilich auch erst auf Nachfrage meinerseits.

Was ich mittlerweile erledigt habe bzw. auch teils schon vor der Blockade hatte:
- Verschlüsselung (Let's Encrypt) ALLER Domains, Sub-Domains und Web-Mail (soweit aktiv)
- SPF, DKIM, DMARC, MX-Record, RDNS-Eintrag

Welche TXT-Records sind ggf. wichtig bzw. wären mal noch zu beachten?

Wenn du den Mailserver über mehrere Domains erreichen willst

Exakt - so läuft das seit vielen Jahren, bisher ohne Stress, aber nun eben scheinbar doch.
Jede Domain hat mehrere Email-Adressen, auf eben die jeweilige Domain lautend. Die Server-Hauptdomain wird nur für Plesk (SSL) und die Warn-/Wartungsmails genutzt. Alle anderen Emails lauten auf die zugehörigen Domainnamen.

Ergo würde aktuell ein RDNS so aussehen: IP1 > Server-Hauptdomain > IP1

Wie das dann aber bei IP1 > Domain 2 > IP1 ausschaut/ausschauen sollte - erschließt sich mir noch nicht wirklich...

könnte das mit einem CNAME oder gegebenenfalls mit einem ALIAS record gehen, weiß aber nicht ob das dann bei den Mailservern einen Fehler gibt bei der Gegenprüfung.

Exakt an der Frage knabbere ich nun schon einige Tage und bin noch nicht so recht schlau geworden.


RDNS, DKIM, DMARC, MX korrekt konfigurieren bei x Domains auf einem Server mit einer oder 2 IPs - vielleicht kann mans darauf herunter brechen.


Was laufen soll:
Server:
IP1: 111.222.333.444 (Haupt-IP, Plesk)
Domain: s1.server.de
admin@s1.server.de

IP2: 111.222.333.555
Domain: s2.server.de

MX siehe Screenshot oben bei Hetzner.

Weitere Domains / Emails auf eben diesem Server:
cat.de
111.222.333.444
info@cat.de
xy@cat.de

gog.de
sub.dog.de
111.222.333.444
info@dog.de
info@sub.dog.de

rabbit.de
111.222.333.555
info@rabbit.de
xy@rabbit.de

mouse.de
cheese.mouse.de
111.222.333.555
info@mouse.de
info@cheese.mouse.de


So in etwa das Schema dessen, was ich mach/brauch/vorhab. Vielleicht macht es dass ja deutlicher was mein Problem ist.

 

[otto]

Hier gibts von Hetzern dazu nen Info-Happen - ich werd nur noch nicht so ganz schlau daraus wie mans nun konkret umsetzen muss.
https://docs.hetzner.com/de/dns-console/dns/general/reverse-dns/

Ähnliches Thema:
Eine IP - mehrere Domains - aber ein Mailserver-host

oder:
Reverse DNS Setup for an IP with multiple domains

 

[Tealk]

Um IP-Sperren weniger verheerend zu machen (wie man sieht, kanns einen auch schnell mal selbst erwischen weil man was nicht korrekt konfiguriert/ übersehen hatte) hab ich 2 IPs, eine fürs Hobby und eine für die offiziellen Projekte.

Hilft dir z.B. nix wenn sie im selben Bereich sind weil viele Mail Anbieter sperren ganze ranges.

Im Grunde gehts mir darum, zu erfahren, wo sind die bekannten Stolperstellen, wo man schon allein durch falsche oder fehlende Konfig auf Blocklisten landen kann, ohne auch nur eine Spam-Mail versandt zu haben.

Bei Deutschen Anbietern sehr leicht weil sie einfach. GMX und 2 andere die ich nicht mehr weiß benutzen z.B. eine veraltete Technik die ersatzlos gestrichen worden ist, da bleibt man unter umständen immer wieder mal hängen.

Die Info gabs freilich auch erst auf Nachfrage meinerseits.

Sieht man auch in den Mailserver logs.

Welche TXT-Records sind ggf. wichtig bzw. wären mal noch zu beachten?

So viel gibts da eig. nicht:

$ORIGIN email.domain.
@    IN    MX    server.domain
autodiscover    IN    CNAME    server.domain
_autodiscover._tcp    IN    SRV    server.domain 443
autoconfig    IN    CNAME    server.domain
@    IN    TXT    ?
@    IN    TXT    v=spf1 a mx ip4:IP ~all
_dmarc    IN    TXT    v=DMARC1;p=none
dkim._domainkey    IN    TXT    v=DKIM1;k=rsa;t=s;s=email;p=KEY

Exakt - so läuft das seit vielen Jahren, bisher ohne Stress, aber nun eben scheinbar doch.
Jede Domain hat mehrere Email-Adressen, auf eben die jeweilige Domain lautend. Die Server-Hauptdomain wird nur für Plesk (SSL) und die Warn-/Wartungsmails genutzt. Alle anderen Emails lauten auf die zugehörigen Domainnamen.

Ja aber deswegen hat dein Server doch dennoch nur eine einzige Adresse über die er erreichbar ist, die Serveradresse und die Mail musst du separat sehen.
Beispiel:

Server: mail.server.de
mail1@mail.server.de mail1@anderedomain.de mail1@weiteredomain.de

Aber für jede dieser Domains wird der Server mail.server.de verwendet. Über die MX Einträge kannst du quasi ne Weiterleitung machen damit du auch deine Email-Domain nutzen kannst. Dennoch referenziert sich am ende alles auf deine Server Domain, so hast du auch nur eine Domain zu einer IP

Wie das dann aber bei IP1 > Domain 2 > IP1 ausschaut/ausschauen sollte - erschließt sich mir noch nicht wirklich...

Kann gar nicht gehen, das regeln ja dann die MX Einträge

 

[otto]

Hilft dir z.B. nix wenn sie im selben Bereich sind weil viele Mail Anbieter sperren ganze ranges.

Doch, hilft, ich habs ja nu live und in Farbe. Eine bei 2 Blocklisten, sonst OK, die andere sauber. Hilft also. ;-)

Rest schau ich mir noch mal in Ruhe an, danke schon mal, denke hab jetzt eine Idee wo/wie ich ansetzen kann.

 

[Kirby]

Beim dem ganzen Kram der hier gepostet wurde wird einmal ja schwindelig

Bei der Telekom reichte der fehlende rDNS Eintrag schon aus, um gleich mal zu blocken. Die Info gabs freilich auch erst auf Nachfrage meinerseits.

Ohne dir auf die Füße treten zu wollen, aber dass ein korrekter rDNS-Eintrag erforderlich ist SMTP 1x1, das wird jeder Anbieter erfordern der halbwegs professionell MX betreibt.

Es gibt durchaus Dinge die leichter sind als einen "Mailserver" (ich setzt das in Anführungszeichen da es hier ja erst mal "nur" im eine SMTP Relay geht) sauber aufzusetzen und dessen Reputation dauerhaft im grünen Bereich zu halten.

Aber fanden wir mal ganz am Anfang an:
Ein SMTP-Relay-Server hat im Normalfall exakt einen Namen mit dem er sich im HELO/EHLO gegenüber anderen meldet.
Was Du also brauchst ist ein Hostname wie z.B. mail.ottos-webhosting.de, die diesen brauchst du einen A/AAAA-Eintrag der auf eine IP-Adresse auflöst die (als PTR-Eintrag) wiederum auf mail.ottos-webhosting.de auflöst.
Damit sind die Grundvoraussetzungen für den E-Mail Versand erfüllt.

Für welche Domains du dieses SMTP-Relay nun nutzt um darüber Mails zu verschicken ist davon völlig unabhängig - da kommen dann SPF, DKIM, etc. ins Spiel.

Mit nur 2 IP-Adressen kriegst du IMHO kein schönes Setup hin, der Mailserver müsste sind immer die IP-Adresse mit anderen Diensten teilen - finde ich unschön.

Mein Vorschlag wären 3 IP-Adressen
IP1 (1.2.3.4) als A für mail.ottos-webhosting.de
PTR 4.3.2.1.in-addr.arpa für mail.ottos-webhosting.de

Darüber hinaus wird IP1 fürs nichts anderes verwendet, was du mit IP2+ machst ist dann "beliebig".

Doch, hilft, ich habs ja nu live und in Farbe. Eine bei 2 Blocklisten, sonst OK, die andere sauber. Hilft also. ;-)

Wenn nur eine einzige Adresse betroffen ist - sicherlich.
Wenn ein ganzes Netz/AS betroffen ist (was bei Hetzner nicht sooo selten der Fall sein dürfte): Nein.
Das wollte @Tealk damit sagen.

 

[otto]

Weil die Sonne sich so dolle Mühe gibt, bin ich mal nicht so und lass eine Antwort auf den ersten Teil sein. Ich weiß ja mittlerweile, das es so kommen würde...

Ich hab halt ein Zeit-Problem. Ich mach seit Wochen 70-90h in einer 6-7 Tage Woche und dann kommt der Server on top und dann passieren böse Fehler wie der welcher mich zum Umzug zwang. "Früher (bis vor 4 Jahren) stand ich da mal halbwegs im Stoff und hatte weit mehr Zeit mich da tiefer einzulesen. Heute, zur Zeit, leider nicht.

Ich würde euch beide mal in eine Private Unterhaltung einladen, damit ich hier nicht mit Pseudo-IPs und Pseudo Domains arbeiten muss und wir so schneller zum Ergebnis kommen. Bei aller Grantlichkeit die man mit einander gerne mal hat/hatte, n bisl Vertrauen ist durchaus da.

 

[Hoffi]

Genau das alles ist der Grund, warum ich aufgehört habe selber einen Mailserver zu hosten. Es gibt da günstige Lösungen. Und das hätte auch den Vorteil das die in der Regel bei geblockten IPs, diese ändern.

 

[otto]

Wo dann hin mit den Mails?
Hätte man dann dort auch eigene Domains oder ist das dann eher a la @gmx.de/@web.de/@googlemail.com eine Sammel-Domain. Das würde aber alles andere als "schön" aussehen - Stichwort gewerblicher Einsatz. Und dann wieder das Thema Auftragsdatenverarbeitung, Datenschutz, Kosten?

 

[Tealk]

@Hoffi wir haben aktuell raus gefunden das otto gar keinen eigenen Mailserver betreibt. Da hat sich nur ein bisschen was durcheinander gewürfelt.

 

[Walter]

Es gibt da günstige Lösungen.

Welche wären das?

 

[Tealk]

Kommt auf den Leistungsumfang den du brauchst an würde ich sagen. Jeder Webspace hat einen Mailserver dabei, bei Netcup gibt es z.B. sehr günstige Webspace Angebote. Mailcow kann man z.B. auch Mieten wenn man mehrere Domains verwalten muss. Man könnte auch zu mailbox.org gehen, sind auf das Thema Mails spezialisiert.

 

[Hoffi]

Welche wären das?

Das kommt drauf an was du genau möchtest.

Ich hab meinen MX Record bei Google liegen im private Business Account (wird gerade leider abgeschafft, ich muss mal sehen was koimmt.)

Forenmails versende ich über Amazom SES.

Zum versenden gibt es viele Anbieter:

• Zum Beispiel Mailchimp. Marketing-Tarife, die mitwachsen | Mailchimp
• Monatlich 10k, pro Tag max. 2k im kostenlosen Paket. Darfst aber nicht mehr als 1500 Kontakte haben, wie immer das gemeint ist.
• Google hat auch ein Frei Kontingent.
• Sendgrid 100 Mails pro Tag im dauerhaften Kostenlosen Paket.

Und beim eigenen Provider mal schauen was da angeboten wird. Ionos hat da auch Angebote.

 

[Kirby]

Darfst aber nicht mehr als 1500 Kontakte haben, wie immer das gemeint ist

Ich würde es so verstehen dass max. 1.500 verschiedene Empfängeradressen möglich sind.

 

[otto]

Zurück zum Thema...

Ich hatte gestern noch den Grund für das Hick-Hack gefunden - scheinbar gabs bei Strato mal Domain-Pakete OHNE Emails. Davon hab ich 2 und die hatte ich dann doch auf dem Server eigenen Mailservern laufen bei Strato noch. Die restlichen liefen über die Strato Mailserver weils die bequemste Methode war/ist.
Das hatte ich komplett nicht mehr auf dem Schirm. Aktuell laufen alle Emails wieder, und die Telekom hat wieder frei gegeben - immerhin.

Langfristig überlege ich wie ich weiter verfahren werde. Um Serverwechsel einfach zu halten, würde es schon Sinn machen die Emails zusammen mit den Domains extern zu hosten, unabhängig vom Server. Andererseits bietet der eigene Mailserver aber auch mehr Freiheiten - nur eben aber auch mehr Pflichten und frist Ressourcen.

Strato bietet an Mails DSGVO/Staats-konform zu archivieren - das wäre wieder ein Pro für die Mailserver direkt bei denen.

Als erstes setz ich mich das WE hin und mach eine Übersicht, welche Mails und Domains wie und wo laufen - am besten wohl per Excel Tabelle um es übersichtlich zu gestalten. Dann kann man Änderungen leichter nachvollziehen und sich besser einen Plan machen und den Überblick behalten. Was soll ich sagen, Dokumentation ist das Stichwort. Hab ich vernachlässigt, hat sich gerächt.

An dieser Stelle noch mal Dank an Kirby und Tealk fürs mit mir da Licht ins Dunkel bringen per PN.

 

[Tealk]

Apropo Telekom, hab heut auch so was in meiner Log:

B45BC2A01C6: to=<xxx.xxx@t-online.de>, relay=mx01.t-online.de[194.25.134.72]:25, delay=68029, delays=68025/0.02/3.9/0, dsn=4.0.0, status=deferred (host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP=5.9.187.38 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.))

Da werd ich wohl auch mal anfragen dürfen.

frist Ressourcen.

Das ist eher unmerklich

 

[otto]

Schreib die nett an - zum Glück sagen se einem schon grob woran sie sich stören. Immerhin.

 

[Tealk]

Ja der Kontakt meinte er wird veranlassen das die Reputation zurückgesetzt wird. Mehr gabs nicht als Nachricht, hätt mich gern mal interessiert was überhaupt ihr Problem an meinem Mailserver war.
Aber:

9741A2A03CB: to=<xxx.xxx@t-online.de>, relay=mx00.t-online.de[194.25.134.8]:25, delay=60931, delays=60929/0.02/1.7/0.15, dsn=2.0.0, status=sent (250 2.0.0 Message accepted.)

Langfristig überlege ich wie ich weiter verfahren werde.

Zu dem Thema, ich kann Mailcow empfehlen, ein sehr schönes System das auch gut bedienbar ist.