Housten wir haben ein Problem
http://en.wikipedia.org/wiki/Sender_Policy_Framework
http://de.wikipedia.org/wiki/Sender_Policy_Framework
Sender Policy Framework (früher Sender Permitted From), kurz SPF, ist eine Technik, die das Fälschen des Absenders einer E-Mail auf SMTP-Ebene erschweren soll. Dazu wird in der DNS-Zone einer Domäne ein sog. Resource Record vom Typ TXT oder SPF mit Informationen darüber hinterlegt, welche Computer E-Mails für diese Domäne versenden dürfen. Anhand dieser Informationen soll nach RFC 4408 der Empfangs-Server dann sowohl die "MAIL FROM"-Identität als auch die "HELO"-Identität des Senders nachprüfen. Absenderangaben im E-Mail-Header werden nicht überprüft.
Was heißt das,
wer in Zukunft - uns trifft es jetzt schon mit Firmen und Hochschuén, das anwendet, darf TeilnehmerInnen nicht mehr mit deren eMailadressen anlegen, da z.B. ein Student der FH JOANNEUM, die adresse xxx.yyy@fh-joanneum.at eingetragen hat. Schickt Moodle (aus einer anderen Domain) jetzt ein eMail (aus einem Forum an xxx.yyy@fh-joanneum.at dann schaut der SMPT der FH nach, kommt diese eMail von der FH selbst oder von einem "befreundeten Server", wenn nicht = "SPAM", abweisen.!
Gut könnte man eintragen, aber auch GMX und HOTMAIL setzen das ein, immer mehr Organisationen, es kann doch niemand erwarten, für alleTeilnehmer eine "Serverfreischaltung" zu organisieren.
Alternativen: Alle bekommen eine eigene Adresse am Moodle-Server, es gibt eine Adresse für alle usw... NUR das geht ja nicht,
sobald ich zB. auf meinen Mailservern das aktiviere, bekomme ich dieses Mail hier nicht mehr zugestellt ...
Housten wir haben ein Problem ...
LG Peter Sereinigg, aus der Weststeiermark
wir erwarten heute bis zu 35 Grad - werde irgendwo in den schattigen Wäldern meines Grundes mit WLAN - Schutz suchen...
Es ist die Frage was der Absender dann für eine Adresse hat. SPF checkt nur den SPF-Eintrag im DNS und ob der Server aus dem Bereich einliefert.
Wenn das nicht passt, wird i.d.R. rejected.
Das ist aber schon seit Jahren so (SPF); moodle sendet doch mit dem Absender "moodle-admin... @moddleserver..." (Bang-Pfad); damit wirkt der Filter hier nicht.
Wenn aber z.B. eine Weiterleitung über GMX oder so was ist; wird die Mail bei Empfänger-SMTP-Server verworfen. u.a. genau wegen letzerem benutzt man kaum SPF ...
S.
Wenn das nicht passt, wird i.d.R. rejected.
Das ist aber schon seit Jahren so (SPF); moodle sendet doch mit dem Absender "moodle-admin... @moddleserver..." (Bang-Pfad); damit wirkt der Filter hier nicht.
Wenn aber z.B. eine Weiterleitung über GMX oder so was ist; wird die Mail bei Empfänger-SMTP-Server verworfen. u.a. genau wegen letzerem benutzt man kaum SPF ...
S.
Kaum ist gut ...
hier stellen Organisationen immer häufiger um...
Ich habe das in Österrerreich jetzt mal thematisiert und schau mal, was kommt.
ABER wenn Moodle hier eine NICHT moodle verschickt - fliegt diese Adresse raus ...
Peter
hier stellen Organisationen immer häufiger um...
Ich habe das in Österrerreich jetzt mal thematisiert und schau mal, was kommt.
ABER wenn Moodle hier eine NICHT moodle verschickt - fliegt diese Adresse raus ...
Peter
Wir müssen hier einiges auseinderhalten. Wir von moodleSCHULE bekommen mittlerweile problemlos Mails an z.B. AOL oder Hotmail durch, seit ich im DNS einen SPF-Eintrag gesetzt habe.
Dabei kommt der Admin-E-Mailadresse ein besonderes Augenmerk zu, da Sie allein als RETURN-PATH im Mailheader gesetzt wird. Das SPF-System prüft genau diesen RETURN-PATH.
Unser Server heißt z.B. moodleschule.de, der Admin hat die Adresse maik.riecken@moodleschule.de eingetragen. Und natürich fällt dann die SPF-Prüfung positiv aus (schließlich sind der Host "moodleschule.de" und "riecken.info" berechtigt, Mails unter dieser Domain zu versenden).
Die anderen E-Mailadressen (Moodleuser) tauchen nur in der REPLY-TO-Zeile im Header auf. Das ist unkritisch.
Fazit:
Versteht der Provider sein Handwerk und setzt für jede Domain, für die der Mailserver E-Mails verschickt, brav einen SPF-Eintrag, dann klappt es auch - soweit der Admin eine Adresse oder Weiterleitung an ebendiese Domain verwendet und in Moodle einträgt. Ein Moodlepartner für das Hosting weiß das und macht das - deswegen ist der ja auch das viele Geld wert.
Die User merken da nichts von.
Gruß,
Maik
Dabei kommt der Admin-E-Mailadresse ein besonderes Augenmerk zu, da Sie allein als RETURN-PATH im Mailheader gesetzt wird. Das SPF-System prüft genau diesen RETURN-PATH.
Unser Server heißt z.B. moodleschule.de, der Admin hat die Adresse maik.riecken@moodleschule.de eingetragen. Und natürich fällt dann die SPF-Prüfung positiv aus (schließlich sind der Host "moodleschule.de" und "riecken.info" berechtigt, Mails unter dieser Domain zu versenden).
Die anderen E-Mailadressen (Moodleuser) tauchen nur in der REPLY-TO-Zeile im Header auf. Das ist unkritisch.
Fazit:
Versteht der Provider sein Handwerk und setzt für jede Domain, für die der Mailserver E-Mails verschickt, brav einen SPF-Eintrag, dann klappt es auch - soweit der Admin eine Adresse oder Weiterleitung an ebendiese Domain verwendet und in Moodle einträgt. Ein Moodlepartner für das Hosting weiß das und macht das - deswegen ist der ja auch das viele Geld wert.
Die User merken da nichts von.
Gruß,
Maik
Vielleicht habe ich jetzt aber etwas nicht verstanden:
Damit GMX akzepiert, dass ein user, der bei dir mit GMX eingetragen ist von mir was verschickt, musss das im DNS bei GMX stehen ...
Du definierts ja nur wen du zuläßt, du kannst nie sagen wen ein anderer zulassen soll oder?
Das mit dem Header ist ja OK, aber bitte wo stelle ich das per default im Moodle ein?
Und Verwalten ...
Das geht bis zu einer gewissen Größenordnung - ja,
wir brauchen dann aber Tools, die Domains der Moodle-Datenbank mit den Records am Mailserver prüfen und differenzen automatisch auswerfen und vorher keine (!) emails zulassen ...
Weißt du bei allen teilnehmer welche Adressen die eingeben,
ich habe 1000ende User am Server und ich habe nicht nur einen Server ...
und wer sagt da was von viel Geld für Moodle-Partner ... hab ich da was versäumt?
Peter
hinter einem schattigen Baum, mit Sicht auf Schmetterlinge und einem kühlen Krug mit
neben mir
Nein, es ist wie schon gesagt nur Dein moodle-Host und Deine DNS-Zone wichtig. Wenn z.B. moodlehost.de Dein server wäre und der Absender dann admin@moodlehost.de (was bei moodle dann als BANG-Path eingetragen wird) muß der SPF-Record in Deiner DNS-Zone mindestens auch auf Deinen moodle-Server zeigen; sofern dieser selbst per SMTP ausliefern soll.
weitere Infos zu SPF siehe hier:
http://www.openspf.org/
Dort kannst Du Die auch eigene SPF-Eintrräge automatisch zum Eintrag in Deinen DNS generieren lassen...
SPF beim Zielserver (wenn dort aktiviert) macht also nix anders als Deine DNS-Zone "moodlehost.de" fragen ob eine SPF-record da ist und ob die per smtp einlieferne IP in der Maske des SPF-Records steht; wenn nicht wird die Mail i.d.R. rejected.
S.
weitere Infos zu SPF siehe hier:
http://www.openspf.org/
Dort kannst Du Die auch eigene SPF-Eintrräge automatisch zum Eintrag in Deinen DNS generieren lassen...
SPF beim Zielserver (wenn dort aktiviert) macht also nix anders als Deine DNS-Zone "moodlehost.de" fragen ob eine SPF-record da ist und ob die per smtp einlieferne IP in der Maske des SPF-Records steht; wenn nicht wird die Mail i.d.R. rejected.
S.
Hallo Peter,
Ich versuche es noch einmal - vielleicht verstehe ich auch etwas falsch:
Der GMX-Mailserver bekommt von deinem Moodle eine E-Mail. Im Header dieser E-Mail steht der einliefernde Mailserver, also der hoffentlich korrekt konfigurierte MTA deines Servers. Im Header steht auch im Return-Path die Absender-Adresse (da steht IMMER die Adresse des Moodleadmins).
Jetzt macht der Mailserver von GMX Folgendes:
Er sagt sich:
Oha - da kommt eine Mail vom Mailserver mail.peterscoolerserver.at und trägt im Header den Return-Path peter@act2win.at.
Darf der Mailserver mail.peterscoolerserver.at E-Mails verschicken, die den Domainanteil act2win.at besitzen? Ich schau' das mal im DNS-(SPF)-Eintrag von peterscoolerserver.at nach - die Adresse dieses DNS-Servers bekomme ich ja z.B. von nic.at.
Variante a):
Supi - das steht da drin - durchlassen!
Variante b):
Äh? Es gibt diesen SPF-Eintrag nicht. Potentieller Müll - ab in den Spamordner.
Variante c):
Äh? Es gibt diesen Eintrag, aber nicht für den Domainanteil act2win.at - ALARM! Da versuchts ein böser Spammer, den Return-Path zu fälschen! Verbindungsabbruch - keine Annahme der Mail.
Merke:
Moodle setzt für den Return-Path IMMER die Adresse des Hauptadmins. Deren Domainanteil muss per SPF im DNS stehen, niemand sonst.
Der Return-Path ist unabhängig von dem Reply-to-Eintrag, den Moodle für die Forenbeiträge setzt. Der Reply-to hat nur einen Zweck:
Er sagt dem Mailprogramm des Kunden, was geschehen soll, wenn der auf "antworten" klickt. Nur wenn kein "Reply-to" gesetzt ist, greift dieser Mailer auf den Return-Path zurück. Um den Reply-to kümmert sich GMX einen Scheißdreck.
Deshalb können deine User jede beliebige E-Mailadresse angeben - dank des korrekten Return-Path kommen die Mails durch, wenn in deinem DNS kein Müll steht. Da steht aber oft Müll drin... Das ist Aufgabe des Providers oder deines DNS-Admins, die Sache zu regeln - da musst du gar nichts verwalten.
Gruß,
Maik
Jetzt macht der Mailserver von GMX Folgendes:
Er sagt sich:
Oha - da kommt eine Mail vom Mailserver mail.peterscoolerserver.at und trägt im Header den Return-Path peter@act2win.at.
Darf der Mailserver mail.peterscoolerserver.at E-Mails verschicken, die den Domainanteil act2win.at besitzen? Ich schau' das mal im DNS-(SPF)-Eintrag von peterscoolerserver.at nach - die Adresse dieses DNS-Servers bekomme ich ja z.B. von nic.at.
Variante a):
Supi - das steht da drin - durchlassen!
Variante b):
Äh? Es gibt diesen SPF-Eintrag nicht. Potentieller Müll - ab in den Spamordner.
Variante c):
Äh? Es gibt diesen Eintrag, aber nicht für den Domainanteil act2win.at - ALARM! Da versuchts ein böser Spammer, den Return-Path zu fälschen! Verbindungsabbruch - keine Annahme der Mail.
Merke:
Moodle setzt für den Return-Path IMMER die Adresse des Hauptadmins. Deren Domainanteil muss per SPF im DNS stehen, niemand sonst.
Der Return-Path ist unabhängig von dem Reply-to-Eintrag, den Moodle für die Forenbeiträge setzt. Der Reply-to hat nur einen Zweck:
Er sagt dem Mailprogramm des Kunden, was geschehen soll, wenn der auf "antworten" klickt. Nur wenn kein "Reply-to" gesetzt ist, greift dieser Mailer auf den Return-Path zurück. Um den Reply-to kümmert sich GMX einen Scheißdreck.
Deshalb können deine User jede beliebige E-Mailadresse angeben - dank des korrekten Return-Path kommen die Mails durch, wenn in deinem DNS kein Müll steht. Da steht aber oft Müll drin... Das ist Aufgabe des Providers oder deines DNS-Admins, die Sache zu regeln - da musst du gar nichts verwalten.
Gruß,
Maik
Hallo Peter,
eine spezielle Einstellung in moodle braucht es dafür nicht.
Jede Mail, die über die Plattform raus geht, hat automatisch als Return-Path die Adresse des Admins eingetragen. (So wie sie in moodle hinterlegt ist)
Das kannst du leicht testen, wenn du dir mal den Quelltext der Mails anschaust, die von moodle verschickt werden.
Dabei spielt es gar keine Rolle, ob die User als Absenderadresse ihre eigene nehmen, oder das oft benutze noreply@<server>.
Wie also schon mehrfach gesagt, ist es nur notwendig im DNS einen SPF-Eintrag für eben diese Admin-Adresse bzw. Domain zu haben.
Grüße aus dem von einer leichten Briese durchströmten Garten.
Jörg
stimmt...
Wie gesagt ein fremder Server "schaut " beim SPF-Check nur den SPF-Eintrag der DNS-Zone der einzuliefernden Domain (server aus dem BangPath; also die addr des servers des moodle-admins). Wenn die einliefernde IP im Breich dort zu finden ist (und spf überhaupt aktiv) , dann wird die mail angenommen; wenn nicht i.d.R. rejected.
moodle ist also hier kaum ein problem; einfache mailinglisten und mail-weiterleitungen aber, sofern die den Absender (im Path! nicht From!) entspr. mit umsetzen.
S.
Wie gesagt ein fremder Server "schaut " beim SPF-Check nur den SPF-Eintrag der DNS-Zone der einzuliefernden Domain (server aus dem BangPath; also die addr des servers des moodle-admins). Wenn die einliefernde IP im Breich dort zu finden ist (und spf überhaupt aktiv) , dann wird die mail angenommen; wenn nicht i.d.R. rejected.
moodle ist also hier kaum ein problem; einfache mailinglisten und mail-weiterleitungen aber, sofern die den Absender (im Path! nicht From!) entspr. mit umsetzen.
S.
Danke an Alle ...
ab einem gewissen Alter dauert es einfach länger, bis ich es verstanden habe
LG Peter Sereinigg
ab einem gewissen Alter dauert es einfach länger, bis ich es verstanden habe
LG Peter Sereinigg