Externe eMail von der eigenen Mail-Domäne blockieren

SPF, DKIM sowie DMARC konfigurieren für eure Domain :-)

Puhh... das mit dem SPF aktivieren macht keinen großen Spass ;-) Funktioniert zwar für den Case um den es geht, aber die Hälfte unserer "Partner" wird jetzt ausgefiltert weil die Ihre SPF EInträge wohl nicht oder falsch haben. Wir sind nur noch am Ausnahmen machen.

Also das ist kein Argument, weil andere Partner sicherheitstechnisch nicht auf der höhe sind, dass ihr dann wieder mit „ spf abschalten“  nachzieht. Seid lieber Vorbild. 

Damit wir uns richtig verstehen, du hast nicht nur SPF im SMTP Proxy aktiviert, sondern für eure Domain beim Provider auch dementsprechend euren SPF Eintrag konfiguriert? 

Zum anderen halte ich die hälfte übertrieben, wir haben auch SPF aktiviert und es kommen alle Kundenmails an. Auch jene, die kein SPF haben. Aber ja klar, Kunden mit  falschen, gefälschten Settings oder unsere Domain nachahmen wollen, werden blockiert.

Also das ist kein Argument, weil andere Partner sicherheitstechnisch nicht auf der höhe sind, dass ihr dann wieder mit „ spf abschalten“  nachzieht. Seid lieber Vorbild. 

Damit wir uns richtig verstehen, du hast nicht nur SPF im SMTP Proxy aktiviert, sondern für eure Domain beim Provider auch dementsprechend euren SPF Eintrag konfiguriert? 

Zum anderen halte ich die hälfte übertrieben, wir haben auch SPF aktiviert und es kommen alle Kundenmails an. Auch jene, die kein SPF haben. Aber ja klar, Kunden mit  falschen, gefälschten Settings oder unsere Domain nachahmen wollen, werden blockiert.

So, hatten zwischenzeitlich ein Update der Wawi, jetzt wieder zu den spannenden Dingen ;-)
Ich habe den SPF Check nicht deaktiviert, aber wir sind echt jeden Tag am Checken welche wichtigen Mails ausgefiltert werden, immer noch. Es wird zwar weniger, aber dafür die SPF Ausnahmen immer mehr ;-) Es ist echt interessant welch selbst große Namen da rausgefiltert werden. Bei vielen kleineren Partnern passen häufig die angegebene IP-Adressen nicht mehr, einmal eingerichtet aber anscheinend nicht gepflegt. Das nervt schon ziemlich, aber jetzt ziehen wir das durch.

Gut so, dass ihr SPF weiterhin aktiv lasst. Wir haben auch mehrere 100 Kunden, aber müssen keine einzige SPF-Ausnahme setzen.
Kannst du einmal prüfen, ob Kunden bei denen der SPF-Check als "fehlerhaft" markiert wird, wirklich ein Problem mit einer falschen SPF-Konfiguration haben? --> Lookup - SPF-Record

Das Ergebnis würde mich mal interessieren, gerne mit Screenshot - sind ja öffentlich zugängliche Informationen.

So sind die fast alle, falsche Absender-IP, aber die sind "OK".

korrekt, der SPF-Record von rechnungs-analyse.vodafone.de hat in der Tat andere IP-Adressen als erlaubte Absende-IP (der Domain "rechnungs-analyse.vodafone.de") hinterlegt. Die Source-IP bei eingehende Mails bei euch ist 80.67.29.38 und löst sich zu mx07.ispgateway.de auf (Host-Europe). Jene Daten sind wie oberen bereits (und von dir) erwähnt, tatsächlich nicht im SPF-Record der Hauptabsenderdomäne. Schade, da bleibt es wohl nur jene Absender hinzuweisen oder in die Ausnahme zu setzen. Du solltest aber mit der Ausnahme aber bald gute Ergebnisse erzielen, da fehlerhafte SPF-Konfigurationen normalerweise selten sind und nicht der Normalzustand sind.