GMX, SPF, SRS und Postfix

GMX ermöglicht seinen Kunden Mails die von eine SPF-Domäne stammen, aber nicht von einem autorisiertem Host verschickt werden, abzulehnen. (SPF definiert Mailserver denen es erlaubt ist für eine Domäne E-Mails zu verschicken.) Der Mailserver lehnt die E-Mails dann schon im SMTP-Dialog ab, der Server der eine Mail einliefern möchte kann seine Mail nicht loswerden.

Auch wenn man über den Sinn und Zweck von SPF geteilter Meinung sein kann. SPF schützt nicht vor Spam, sondern nur vor Absenderfälschung, das ist aber kein Kriterium für Spam… (Ich sollte dazu mal einen Eintrag schreiben.) Halt ich es doch für ziemlich fahrlässig von GMX seinen Kunden diese Option anzubieten.

Denn, SPF zerstört (neben einigen anderen Sachen) E-Mail-Weiterleitungen. Da eine E-Mail die über einen anderen Host weitergeleitet wird dann natürlich auch von diesem Host eingeliefert wird, kann dieser die E-Mail dann natürlich nicht mehr bei GMX abliefern.

In den Informationen im GMX-Menu steht übrigens kein Wort davon. Gefährlich finde ich auch die Option als Spamserver-Blocker zu bezeichnen. $Benutzer wird sich natürlich denken, ‘Ey, goil, ich blocke Spamserver!’

Server-Administratoren die E-Mails an GMX-Accounts weiterleiten müssen/wollen, müssen dann den E-Mail-Absender abändern. Eigentlich muss man das mittels SRS machen. Dumm nur, dass es, zumindest, für Postfix keine stabile, erprobte Lösung gibt.

Was viel schlimmer ist, GMX bietet auch keine Whitelist für Nutzer an, auf der sie Server eintragen können, die trotz fehlendem SRS die Mails abliefern dürfen. (Etwa wenn man einfache Weiterleitungen hat.)

Ich befand mich jetzt in einer ähnlichen Situation, ein (!) Nutzer wollte seine E-Mails gerne auf sein GMX-Konto umgeleitet haben. Da es keine stabile und einfache Lösung gibt, SRS in Postfix zu implementieren und ich keine Lust hatte für einen Nutzer einen neuen MTA aufzusetzen/irgendwelche Bastellösungen zu bauen, habe ich ein einfaches Workaround benutzt.

Der SPF-Check, bei GMX, überprüft nur den Envelope-Absender, also den im Mail-From: eingegeben Absender. Dadurch verändert sich der Absender in der Mail bzw. der im Webmailer von GMX angezeigt Absender nicht. (Womit, übrigens auch SPF ad absurdum geführt wird, da ich jetzt munter weiter E-Mail-Absender fälschen kann.)

Das ist zum Einen praktisch, denn leitet man nun die Mail einfach mit einem anderen Absender, etwa der eigenen Domäne weiter, werden die Mails angenommen. Zum Anderen führt das notgedrungen dazu, dass die GMX-Server keine korrekten Bounces mehr erzeugen können. Aber, damit muss man halt leben, wenn man solchen Bockmist verzapft und Kunden (!) SPF-basierte Mail-Abweisung ermöglicht.

Ach ja, in meinem Fall habe ich jetzt einfach einen maildrop-Filter mit

to “!example@gmx.de”

eingerichtet