Mailversand an Yahoo & AOL gestört
Veröffentlicht: 31.10.2025
Aktuell (31.10.2025 14:00) ist der Versand von E-Mails über unseren Mailserver mx.keppler-it.de (nur) an Empfänger bei Yahoo und AOL leider gestört. Wir würden das gerne beheben, aber der Fehler liegt leider einzig und alleine beim Empfänger.
Spam-Abwehr kaputt
Die Ursache scheint unserer Analyse nach eine Fehlkonfiguration bei Yahoo/AOL zu sein. Seit Samstag, 25.10.2025 gegen 17:00 haben wir folgende Meldungen im Mail-Log beobachten können:
Oct 25 17:##:## mx postfix/smtp[1929824]: ###########: to=<################@aol.com>, relay=mx-aol.mail.gm0.yahoodns.net[98.136.96.93]:25, delay=4758, delays=4755/0.23/0.93/1.5, dsn=5.7.9, status=bounced (host mx-aol.mail.gm0.yahoodns.net[98.136.96.93] said: 550 5.7.9 This mail has been blocked because the sender is unauthenticated. Yahoo requires all senders to authenticate with either SPF or DKIM. Authentication results: DKIM = FAILURE - SPF t-online.de with ip 88.198.223.5 = FAILURE. See https://senders.yahooinc.com/smtp-error-codes/#authentication-failures for more information. (in reply to end of DATA command))
Oct 26 00:##:## mx postfix/smtp[1972096]: ###########: to=<##################@yahoo.de>, relay=mx-eu.mail.am0.yahoodns.net[188.125.72.74]:25, delay=25558, delays=25557/0.08/0.34/0.5, dsn=5.7.9, status=bounced (host mx-eu.mail.am0.yahoodns.net[188.125.72.74] said: 550 5.7.9 This mail has been blocked because the sender is unauthenticated. Yahoo requires all senders to authenticate with either SPF or DKIM. Authentication results: DKIM = FAILURE - SPF t-online.de with ip 88.198.223.5 = FAILURE. See https://senders.yahooinc.com/smtp-error-codes/#authentication-failures for more information. (in reply to end of DATA command))
Was hier passiert ist: manche Kunden bei uns lassen ihre eintreffenden E-Mails an externe Ziele weiterleiten, u.a. @aol.com oder @yahoo.de. Treffen nun E-Mails z.B. von Absendern bei @t-online.de ein und wir leiten diese weiter, dann würde der Empfängerserver (AOL/Yahoo) eine E-Mail von @t-online.de sehen, die aber von einem Server zugestellt wird (mx.keppler-it.de) der gemäß SPF-Record von t-online.de nicht dafür autorisiert ist. Damit eben das nicht passiert, wurden die E-Mail vor der Weiterleitung mittels SRS angepasst - der “technische Absender” (Envelope-From, MAIL FROM) wurde auf <irgendwaskryptisches>@mx.keppler-it.de umgeschrieben. Und für diesen Absender (@mx.keppler-it.de) sind SPF, Reverse-DNS usw. alles sauber & korrekt konfiguriert.
Bis dahin eigentlich alles kein Problem. Nur dass Yahoo/AOL scheinbar seit dem 25.10.2025 nicht mehr den Envelope-From-Absender einer Mail für SPF heranzieht, sondern den Absender aus dem From:-Header! Damit ist das ganze System von SRS hinfällig - und das widerspricht auch dem SPF-Standard (siehe RFC 7208).
Da T-Online offenbar auch kein DKIM einsetzt (zumindest waren bei den betroffenen E-Mails keine DKIM-Header vorhanden), schlägt die Absendervalidierung aufgrund der fehlerhaften SPF-Prüfung komplett fehl.
Eskalation
Konfigurationsfehler können ja mal passieren - erfahrungsgemäß “erholen” sich die Systeme dann aber nach wenigen Stunden, wenn auffällt dass irgendwas nicht stimmen kann. Nicht aber hier - nachdem über mehrere Tage (!) hinweg E-Mails mit Verweis auf den fehlerhaften SPF-Check abgelehnt wurden, scheint einer unserer Outbound-Server nun komplett blockiert zu werden:
Oct 31 14:##:## mx postfix/smtp[2837568]: ###########: to=<######@aol.com>, relay=mx-aol.mail.gm0.yahoodns.net[67.195.228.84]:25, delay=84381, delays=84375/2.3/2.7/0.16, dsn=4.7.0, status=deferred (host mx-aol.mail.gm0.yahoodns.net[67.195.228.84] said: 421 4.7.0 [TSS04] Messages from 88.198.223.5 temporarily deferred due to unexpected volume or user complaints - 4.16.55.1; see https://postmaster.yahooinc.com/error-codes (in reply to MAIL FROM command))
Wir haben über das grenzdebile Kontaktformular, welches Yahoo/AOL für solche Fälle bereitstellt, eine Nachricht hinterlassen - heutzutage erreicht man in solchen Unternehmen ja niemanden mehr persönlich.
Ich will vor allem lieber gar nicht an den ganzen Spam denken, den wir wiederum von Servern von AOL & Yahoo erhalten…