Warum E-Mail-Weiterleitungen wegen SPF manchmal scheitern
 
Wenn eine E-Mail weitergeleitet wird, entsteht ein grundlegendes Problem mit dem SPF-Mechanismus (Sender Policy Framework): SPF prüft, ob der sendende Mailserver berechtigt ist, E-Mails für die Absender-Domain zu verschicken. Bei einer direkten Zustellung ist das kein Problem – der Mailserver der Absender-Domain sendet direkt an den Empfänger, und SPF kann das einwandfrei verifizieren.
Bei einer Weiterleitung ändert sich jedoch die Situation grundlegend: Die weitergeleitete E-Mail behält in der Regel die originale Absenderadresse (z. B. absender@beispiel.de) bei, wird aber nun vom Weiterleitungsserver (z. B. dem Mailserver von senseLAN) an den eigentlichen Empfänger zugestellt. Der empfangende Mailserver prüft nun per SPF, ob dieser Weiterleitungsserver berechtigt ist, E-Mails im Namen von beispiel.de zu versenden – und das ist er naturgemäss nicht, denn er taucht im SPF-Record der Ursprungsdomain nicht auf. Das Ergebnis ist ein SPF-Fail.
 
Ob das zu Problemen führt, hängt vom Empfänger ab
Hier kommt die Konfiguration des empfangenden Mailservers ins Spiel. Es gibt verschiedene Reaktionsmöglichkeiten auf einen SPF-Fail:
 
Keine Prüfung / SPF wird ignoriert: Die E-Mail wird problemlos zugestellt. Weiterleitungen funktionieren ohne Einschränkungen.
SPF als Hinweis (Softfail ~all): Der Mailserver wertet das Ergebnis als schwaches Signal. Die E-Mail wird zwar zugestellt, aber möglicherweise mit einem höheren Spam-Score versehen, was zu einer Einstufung im Junk-Ordner führen kann.
SPF-Fail führt zur Ablehnung (-all + strikte Policy): Der Mailserver lehnt die E-Mail direkt ab oder verwirft sie stillschweigend. Gerade in Kombination mit DMARC kann das problematisch werden: Wenn die Ursprungsdomain eine DMARC-Policy mit p=reject oder p=quarantine hat und SPF fehlschlägt (und DKIM nicht passt), wird die E-Mail abgelehnt oder in Quarantäne verschoben – unabhängig davon, ob die Weiterleitung legitim ist.
 
 
Die Lösung: SRS oder DKIM
Um das Problem zu umgehen, gibt es zwei gängige Ansätze:
SRS (Sender Rewriting Scheme): Der Weiterleitungsserver schreibt die Absenderadresse im Envelope (MAIL FROM) so um, dass sie zur eigenen Domain gehört. SPF-Prüfungen schlagen dann nicht mehr fehl, da nun der eigene Server für die eigene Domain sendet. Der ursprüngliche Absender bleibt im From:-Header sichtbar.
DKIM: Ist die Original-E-Mail mit einer gültigen DKIM-Signatur versehen und wird beim Weiterleiten nicht verändert (kein Rewriting des Body, keine Footer-Anhänge), bleibt die DKIM-Signatur gültig. Ein empfangender Server, der DMARC-Alignment über DKIM (statt SPF) prüft, akzeptiert die E-Mail dann trotzdem.
 
Kurz zusammengefasst: Eine Weiterleitung bricht das SPF-Modell technisch gesehen, weil der Weiterleitungsserver nicht im SPF-Record der Ursprungsdomain eingetragen ist. Ob das zu einem Problem wird, hängt davon ab, wie streng der empfangende Server konfiguriert ist – und ob DKIM als Fallback greift.

Viren

Viele Viren verbreiten sich via E-Mail. Auf unserem Mailserver ist daher ein Virenscanner, der alle hereinkommenden und hinausgehenden Mails auf Viren untersucht. Dieser Filter ist aktiv, ohne dass Sie etwas in Ihrem E-Mail Programm einstellen müssen.

Wird ein Virus gefunden, wird nur der infizierte Anhang des entsprechenden Mails gelöscht. Der Virenscanner funktioniert nur bei Mails, die über den senseLAN Mailserver gehen. Wenn Sie ein eMail-Konto bei einem anderen Provider haben, tritt unser Virenscanner nicht in Aktion. Der Benutzer erhält keine Meldung wenn ein Mail einen Virus beinhaltet. Der Grund dafür ist der, dass Viren im Allgemeinen die Absenderadresse fälschen. Eine automatische Benachrichtigung der Benutzer hätte zur Folge, dass Warnungen an die falschen Benutzer geschickt werden.

Trotzdem sollten Sie ein Anti-Viren Programm auf Ihrem Computer installieren, da Viren auch auf andere Wege in das System Ihres PCs gelangen können.

SPAM

Spammer haben verschiedene Möglichkeiten, um an eMail Adressen zu kommen: Mit Suchprogrammen wird das Internet nach E-Mail Adressen durchforstet. E-Mail Adressen können auf Webseiten, in Newsgroups oder Gästebüchern gefunden werden. Mit sogenannten "Brute-Force" Attacken werden Mails an gezielt zusammengestelle E-Mail Adressen gesandt (z.B. amueller@domain.com, bmueller@domain.com, cmueller@domain.com etc.). Ein Bruchteil dieser Adressen erreicht dann schliesslich irgendeinen Empfänger. Auf gar keinen Fall gibt senseLAN E-Mail Adressen von Kunden an Dritte weiter.

Spamfilter

Der Spamfilter analysiert alle Mails, die über unseren Mailserver gehen, nach verschiedenen Spam-typischen Kriterien. Eine kleine Auswahl:

  • Besteht der Betreff aus Grossbuchstaben?
  • Enthält das Mail bestimmte Stichworte?
  • Enthält das Mail gefälschte Headerzeilen?
  • Enthält das Mail HTML-Code?
  • usw.

Jedes zutreffende Kriterium erhöht die Wahrscheinlichkeit, dass es sich um Spam handlet und erhöht einen Trefferzähler. Erreicht dieser Zählerstand einen bestimmten Wert, wird das Mail vom Filter als Spam gekennzeichnet und kann so von Ihnen ganz einfach gefiltert werden.

Abwesenheitsmeldung

Wenn Sie abwesend sind und eine Meldung erfassen möchten, können Sie dies im Kunden-Login.

https://senselan.ch/login

E-Mail Limiten

Die Anzahl ausgehender Mails wird aus Sicherheitsgründen mit einer Limite versehen. Folgende Limiten gelten, wenn man Mails mit den empfohlenen Einstellungen versendet.
 
Zeitraum Anzahl Mails
pro 10min 600
pro 3h 700
pro Tag 900
pro 3 Tage 1500

Falls man mehr Mails als angegeben versenden möchte, kann man mit uns Kontakt aufnehmen.
Warum E-Mail-Weiterleitungen wegen SPF manchmal scheitern
 
Wenn eine E-Mail weitergeleitet wird, entsteht ein grundlegendes Problem mit dem SPF-Mechanismus (Sender Policy Framework): SPF prüft, ob der sendende Mailserver berechtigt ist, E-Mails für die Absender-Domain zu verschicken. Bei einer direkten Zustellung ist das kein Problem – der Mailserver der Absender-Domain sendet direkt an den Empfänger, und SPF kann das einwandfrei verifizieren.
Bei einer Weiterleitung ändert sich jedoch die Situation grundlegend: Die weitergeleitete E-Mail behält in der Regel die originale Absenderadresse (z. B. absender@beispiel.de) bei, wird aber nun vom Weiterleitungsserver (z. B. dem Mailserver von senseLAN) an den eigentlichen Empfänger zugestellt. Der empfangende Mailserver prüft nun per SPF, ob dieser Weiterleitungsserver berechtigt ist, E-Mails im Namen von beispiel.de zu versenden – und das ist er naturgemäss nicht, denn er taucht im SPF-Record der Ursprungsdomain nicht auf. Das Ergebnis ist ein SPF-Fail.
 
Ob das zu Problemen führt, hängt vom Empfänger ab
Hier kommt die Konfiguration des empfangenden Mailservers ins Spiel. Es gibt verschiedene Reaktionsmöglichkeiten auf einen SPF-Fail:
 
Keine Prüfung / SPF wird ignoriert: Die E-Mail wird problemlos zugestellt. Weiterleitungen funktionieren ohne Einschränkungen.
SPF als Hinweis (Softfail ~all): Der Mailserver wertet das Ergebnis als schwaches Signal. Die E-Mail wird zwar zugestellt, aber möglicherweise mit einem höheren Spam-Score versehen, was zu einer Einstufung im Junk-Ordner führen kann.
SPF-Fail führt zur Ablehnung (-all + strikte Policy): Der Mailserver lehnt die E-Mail direkt ab oder verwirft sie stillschweigend. Gerade in Kombination mit DMARC kann das problematisch werden: Wenn die Ursprungsdomain eine DMARC-Policy mit p=reject oder p=quarantine hat und SPF fehlschlägt (und DKIM nicht passt), wird die E-Mail abgelehnt oder in Quarantäne verschoben – unabhängig davon, ob die Weiterleitung legitim ist.
 
 
Die Lösung: SRS oder DKIM
Um das Problem zu umgehen, gibt es zwei gängige Ansätze:
SRS (Sender Rewriting Scheme): Der Weiterleitungsserver schreibt die Absenderadresse im Envelope (MAIL FROM) so um, dass sie zur eigenen Domain gehört. SPF-Prüfungen schlagen dann nicht mehr fehl, da nun der eigene Server für die eigene Domain sendet. Der ursprüngliche Absender bleibt im From:-Header sichtbar.
DKIM: Ist die Original-E-Mail mit einer gültigen DKIM-Signatur versehen und wird beim Weiterleiten nicht verändert (kein Rewriting des Body, keine Footer-Anhänge), bleibt die DKIM-Signatur gültig. Ein empfangender Server, der DMARC-Alignment über DKIM (statt SPF) prüft, akzeptiert die E-Mail dann trotzdem.
 
Kurz zusammengefasst: Eine Weiterleitung bricht das SPF-Modell technisch gesehen, weil der Weiterleitungsserver nicht im SPF-Record der Ursprungsdomain eingetragen ist. Ob das zu einem Problem wird, hängt davon ab, wie streng der empfangende Server konfiguriert ist – und ob DKIM als Fallback greift.

Viren

Viele Viren verbreiten sich via E-Mail. Auf unserem Mailserver ist daher ein Virenscanner, der alle hereinkommenden und hinausgehenden Mails auf Viren untersucht. Dieser Filter ist aktiv, ohne dass Sie etwas in Ihrem E-Mail Programm einstellen müssen.

Wird ein Virus gefunden, wird nur der infizierte Anhang des entsprechenden Mails gelöscht. Der Virenscanner funktioniert nur bei Mails, die über den senseLAN Mailserver gehen. Wenn Sie ein eMail-Konto bei einem anderen Provider haben, tritt unser Virenscanner nicht in Aktion. Der Benutzer erhält keine Meldung wenn ein Mail einen Virus beinhaltet. Der Grund dafür ist der, dass Viren im Allgemeinen die Absenderadresse fälschen. Eine automatische Benachrichtigung der Benutzer hätte zur Folge, dass Warnungen an die falschen Benutzer geschickt werden.

Trotzdem sollten Sie ein Anti-Viren Programm auf Ihrem Computer installieren, da Viren auch auf andere Wege in das System Ihres PCs gelangen können.

SPAM

Spammer haben verschiedene Möglichkeiten, um an eMail Adressen zu kommen: Mit Suchprogrammen wird das Internet nach E-Mail Adressen durchforstet. E-Mail Adressen können auf Webseiten, in Newsgroups oder Gästebüchern gefunden werden. Mit sogenannten "Brute-Force" Attacken werden Mails an gezielt zusammengestelle E-Mail Adressen gesandt (z.B. amueller@domain.com, bmueller@domain.com, cmueller@domain.com etc.). Ein Bruchteil dieser Adressen erreicht dann schliesslich irgendeinen Empfänger. Auf gar keinen Fall gibt senseLAN E-Mail Adressen von Kunden an Dritte weiter.

Spamfilter

Der Spamfilter analysiert alle Mails, die über unseren Mailserver gehen, nach verschiedenen Spam-typischen Kriterien. Eine kleine Auswahl:

  • Besteht der Betreff aus Grossbuchstaben?
  • Enthält das Mail bestimmte Stichworte?
  • Enthält das Mail gefälschte Headerzeilen?
  • Enthält das Mail HTML-Code?
  • usw.

Jedes zutreffende Kriterium erhöht die Wahrscheinlichkeit, dass es sich um Spam handlet und erhöht einen Trefferzähler. Erreicht dieser Zählerstand einen bestimmten Wert, wird das Mail vom Filter als Spam gekennzeichnet und kann so von Ihnen ganz einfach gefiltert werden.

Abwesenheitsmeldung

Wenn Sie abwesend sind und eine Meldung erfassen möchten, können Sie dies im Kunden-Login.

https://senselan.ch/login

E-Mail Limiten

Die Anzahl ausgehender Mails wird aus Sicherheitsgründen mit einer Limite versehen. Folgende Limiten gelten, wenn man Mails mit den empfohlenen Einstellungen versendet.
 
Zeitraum Anzahl Mails
pro 10min 600
pro 3h 700
pro Tag 900
pro 3 Tage 1500

Falls man mehr Mails als angegeben versenden möchte, kann man mit uns Kontakt aufnehmen.