Beim Versand einer Rechnung per E-Mail an rechnung@regiobus.com wurde die Nachricht vom Mailprovider des Empfängers abgewiesen.
Bounce-/Fehlermeldung (Auszug):
- Fehlercode: 550 5.7.26
- Meldung: Message rejected per DMARC policy by elektrotechnik-krumbiegel.de
- Empfangender Server: smtpin.rzone.de
Damit war die E-Mail nicht zugestellt.
Hintergrund: Was bedeutet DMARC?
DMARC schützt Domains vor gefälschten Absendern (Spoofing). Damit DMARC „besteht“, muss mindestens SPF oder DKIM erfolgreich sein und zur Absenderdomain aus dem From:-Header passen („Alignment“).
Ist im DMARC-Record eine strenge Policy wie p=reject gesetzt, werden Nachrichten bei fehlgeschlagener Prüfung abgewiesen.
Analyse
1) SPF und DMARC waren vorhanden
Per DNS-Abfrage (nslookup) waren folgende TXT-Records vorhanden:
elektrotechnik-krumbiegel.de TXT "v=spf1 redirect=_spf.strato.com"
_dmarc.elektrotechnik-krumbiegel.de TXT "v=DMARC1;p=reject;"
2) DKIM war zunächst nicht korrekt im DNS hinterlegt
Obwohl die E-Mail DKIM-Signaturen enthielt (STRATO-Selectoren strato-dkim-0002 / strato-dkim-0003), konnte der Empfänger diese nicht verifizieren, weil die zugehörigen DNS-Einträge fehlten.
Das zeigte sich daran, dass folgende Abfrage keinen CNAME-Record lieferte (nur Zoneninfos/SOA):
nslookup -type=cname strato-dkim-0002._domainkey.elektrotechnik-krumbiegel.de
nslookup -type=cname strato-dkim-0003._domainkey.elektrotechnik-krumbiegel.de
Kurz gesagt: DKIM wurde zwar signiert, aber die DNS-Veröffentlichung für DKIM war unvollständig → DMARC schlug fehl → Reject.
Lösung: DKIM-CNAME-Records bei STRATO setzen
Schritt 1: In STRATO zur DNS-Verwaltung
STRATO Kunden-Login → Domains → Domain auswählen →
DNS-Einstellungen → „TXT- und CNAME-Records verwalten“
Schritt 2: Zwei CNAME-Records hinzufügen
Dort wurden zusätzlich (bestehende CNAMEs bleiben bestehen) zwei neue CNAME-Einträge angelegt:
CNAME 1
- Name/Host:
strato-dkim-0002._domainkey - Ziel:
strato-dkim-0002._domainkey.rzone.de
CNAME 2
- Name/Host:
strato-dkim-0003._domainkey - Ziel:
strato-dkim-0003._domainkey.rzone.de
Erfolgskontrolle
Nach dem Setzen der CNAMEs muss Folgendes zurückkommen:
nslookup -type=cname strato-dkim-0002._domainkey.elektrotechnik-krumbiegel.de
→ canonical name = strato-dkim-0002._domainkey.rzone.de
nslookup -type=cname strato-dkim-0003._domainkey.elektrotechnik-krumbiegel.de
→ canonical name = strato-dkim-0003._domainkey.rzone.de
Optional kann man prüfen, ob der DKIM-Key dahinter als TXT erreichbar ist:
nslookup -type=txt strato-dkim-0002._domainkey.rzone.de
nslookup -type=txt strato-dkim-0003._domainkey.rzone.de
Erwartet wird dabei ein TXT-Eintrag mit v=DKIM1; … p=….
Hinweis: Wie lange warten bis ein Test sinnvoll ist?
Auch wenn die neuen DKIM-Einträge sofort öffentlich sichtbar sind, können Empfängerprovider DNS-Ergebnisse (auch „Record existiert nicht“) zwischenspeichern (negatives DNS-Caching).
Praxiserfahrung:
- oft nach einigen Stunden ok
- in der Regel innerhalb von 24 Stunden
- selten bis 48 Stunden
Empfehlung: Nach dem Setzen der CNAMEs später erneut senden; wenn es nach 24–48 Stunden noch scheitert, beim Empfänger um Prüfung/Cache-Flush der DKIM/DMARC-Validierung bitten.
Zusammenfassung
Problem: E-Mail wurde wegen DMARC-Policy (p=reject) abgewiesen (550 5.7.26).
Ursache: DKIM-Signatur war vorhanden, aber DKIM-DNS (CNAME-Records) fehlte → Verifizierung scheiterte → DMARC fail.
Maßnahme: DKIM-CNAMEs strato-dkim-0002/_0003._domainkey auf …rzone.de gesetzt und per nslookup verifiziert.