Donnerstag, 13. August 2009
[*]

1&1 nochmal

, 16:49

Drei Wochen nach der Lösung des kleinen Mailproblems mit 1&1 hat sich jetzt ein „ZyanKlee“ mit einem Kommentar und einem verlinkten Blogartikel gemeldet. Das ist deshalb bemerkenswert, weil er beim Kommentieren von einem Rechner aus dem 1&1-Netz kam.

Er kommentiert hier:

Auf meinem Blog habe ich die Gründe für die Änderungen von 1&1 mal zusammen gefasst. Ich denke, man kann 1&1 keinen Vorwurf machen, wenn sie von anderen Admins erwarten, dass diese die MailServer und DNS-Zonen entsprechend der gültigen RFC konfigurieren, oder?

…und schreibt in seinem Blogartikel:

In vielen Fällen konnte der 1&1-Support den Leuten weiterhelfen: SPF korrekt(!) konfigurieren und / oder den MX record der Absender-Domain auf einen A record zeigen lassen – niemals auf einen CNAME.

Dass die Konfiguration mit dem MX-Record, der auf einen CNAME-Record zeigt, falsch ist, darüber besteht kein Zweifel.

Leider zeigte sich der 1&1-Support mir gegenüber überhaupt nicht hilfreich, und die (ja neu eingeführten) Anforderungen an die DNS-Einstellungen waren auch nicht Dokumentiert. Man hätte ja auch das konkrete Problem in die Fehlermeldung schreiben können, so wie diese Seite es verspricht (auf genau der Seite hat 1&1 übrigens inzwischen die DNS-Anforderungen gut verständlich dokumentiert — das war vor drei Wochen noch nicht so, aber besser spät als nie).

Dann schreibt er weiter:

Mailserver die CNAMEs als MX records akzeptieren verhalten sich nicht RFC-konform und sollten korrigiert oder korrekt konfiguriert werden.

… und das halte ich für falsch. Der Abschnitt 2.3.5 in RFC5321, der Formvorschriften für einen „Domain Name“ macht, impliziert IMHO nicht, dass deren Einhaltung beim Empfang einer Mail zu überprüfen ist; es handelt sich hierbei vielmehr um eine reine Antispam-Maßnahme (mit derselben Argumentation müsste man sonst auch alle Mails mit von Outlook oder Exchange verkorkstem Header-Encoding verwerfen).

Einer der Grundsätze, auf denen die Internetprotokolle aufbauen lautet schließlich „be conservative in what you send, be liberal in what you receive„. Das wird leider viel zu oft vergessen.

Sonntag, 19. Juli 2009
[*]

Lösung mittels Suchmaschinen

, 09:16

Der 1&1-Support hat auf meine eMail zum Mailproblem geantwortet:

vielen Dank für Ihre E-Mail.

Ihre Anfrage bewegt sich ausserhalb unserers Supportrahmens. Ich empfehle Ihnen daher die Lösung mittels Suchmaschinen.

Wir wünschen Ihnen eine schöne Woche.

Mit freundlichen Grüßen

Ahja. Sehr hilfreich.

Freitag, 17. Juli 2009
[*]

421 invalid sender domain, possibly misconfigured

, 13:39

Vom 6. Juli an erhielt unser Mailserver in der Arbeit für alle Mails, deren Mail Exchanger mx*.schlund.de oder mx*.kundenserver.de ist, die Fehlermeldung „421 unable to verify sender domain“. Diese Mailserver gehören alle zu 1&1.

Ein Wenig Suche im Web brachte mich auf diese Hilfseite:

  • E-Mails müssen den in RFC 2822 definierten Standards genügen. >> http://www.rfc-editor.org/rfc/rfc2822.txt
  • Die E-Mail darf nicht direkt an unsere MX-Server aus Dialup-Netzen heraus zugestellt werden.
  • Ein Reverse DNS-Eintrag (FQDN) des einliefernden Servers muss vorhanden sein. >> http://de.wikipedia.org/wiki/Reverse_DNS
  • Ein sinnvolles und plausibles HELO/EHLO (Format des Anfangs einer E-Mail im Versandprotokoll) im Sinne von RFC 2821 muss gesendet werden. >> http://www.rfc-editor.org/rfc/rfc2821.txt
  • Wir prüfen auf Wunsch des Kunden die >>  SPF Records. Die Absenderadressen von weitergeleiteten E-Mails müssen daher mittels >>  SRS umgeschrieben werden.
  • Der einliefernde Server darf kein Open Proxy sein, das heisst, er muss gegen unberechtigten Zugriff geschützt sein.
  • Im Fehlerfall geben wir immer eine aussagekräftige Fehlermeldung im SMTP-Dialog zurück. Bitte verfolgen Sie im Zweifelsfall Ihr Log zurück bis zum ersten Auftreten eines Fehlers.
  • Wir prüfen verschiedene etablierte RBLs (Blacklistdatenbanken). Sollte eine davon einen Treffer enthalten, gibt der SMTP-Dialog weitere Auskunft.

Nach meinem Dafürhalten sollte die Domain soweit in Ordnung sein:

desenberg:~# host 217.110.66.114
 Name: desenberg.advanced-solutions.de
 Address: 217.110.66.114
desenberg:~# host desenberg.advanced-solutions.de
 desenberg.advanced-solutions.de A       217.110.66.114
desenberg:~# host -t mx as-gmbh.com
 as-gmbh.com             MX      0 desenberg.advanced-solutions.de

SPF kommt für die Domain nicht zum Einsatz, und alle anderen Sachen (RFC-Formate, kein offenes Relay, keine Einwahlsadresse,…) sind natürlich auch erfüllt. Ich konnte mir die Ablehnung also nicht erklären.

Nach Frage auf twitter sprang mir @Miss_1and1 (die hat sich inzwischen umbenannt) zur Seite, verriet mir eine Support-eMail-Adresse, an die ich schrieb, und das Problem verschwand (wörtlich! Im Moment des Abschickens der Mail an den Support gingen andere Mails auch raus).

Seit vorgestern ist das Problem wieder da (wenn auch diesmal mit einer leicht anderen Fehlermeldung):

"421 invalid sender domain, possibly misconfigured"

Hat irgendjemand einen Tipp, was an den DNS-Einträgen zu beachten ist, damit 1&1 die für „gültig“ hält? Oder spielt 1&1 da nur an seiner Konfiguration rum? Hier stehen inzwischen über 70 Mails an Kunden und Geschäftspartner in 31 verschiedenen Domains in der Warteschlange.

Mittwoch, 15. Juli 2009
[*]

12:22  Schon wieder „421 invalid sender domain, possibly misconfigured“? Liebe Mailadmins bei 1&1; wenn hier einer misconfigured, dann Ihr. Grmpf! #
Tags , , , ,   Kommentare  36

Freitag, 10. Juli 2009
[*]

14:34  Hey, warum hat Schlund seit 2 Tagen „421 unable to verify sender domain“ beschlossen? Haben die irgendwas umgestellt? #Schlund #eMail #Block #
Tags , ,   Kommentare  0