FAQ E-Mail delivery problems

twinformatics E-Mail Security Team

Willkommen auf der Informationsseite des E-Mail-Security-Teams der Twinformatics GmbH, dem IT-Dienstleister für Unternehmen der Vienna Insurance Group.

Hier finden Sie:
• Ursachen für E-Mail-Zustellprobleme
• Hinweise zur Fehlerbehebung bei SPF, DKIM, DMARC
• Zugriff auf unsere zentrale E-Mail-Policy

Warum wurde Ihre Nachricht nicht zugestellt?

Sie wurden auf diese Seite weitergeleitet, weil Ihre E-Mail an eine von uns betreute Domain nicht zugestellt werden konnte. Die Gründe liegen in der Regel bei technischen Konfigurationsfehlern auf der Absenderseite.

Betroffene Domains:

airt.at
aquila-hausmanagement.at
biac.at
camelot.gmbh
carplus.at
centralpoint.at
contractors.twinformatics.at
contractor.vig.com
corpnet.at
donauassicurazioni.it
donaubrokerline.at
donauversicherung.at
dvs.co.at
experta.at
experta.co.at
horizont.co.at
igk.co.at
impuls-wissen.at
insurex.at
kapitalanlagen.at
metropolitan.at
platformpartners.vig
riskconsult.at
risklogics.at
s-versicherung.at
staedtische.at
staedtische.co.at
twinfaktor.at
twinformatics.at
vig.com
viunderwriters.com
voeb-direkt.at
wiener.si
wieneritalia.com
wienerstaedtische.at
wienerstaedtische.si
wienerverein.at
wst-versicherungsverein.at
twinfaktor.at
metropolitan.at
centralpoint.at
donauassicurazioni.it
arealis.at

Bitte geben Sie diesen Link an Ihre IT-Administration weiter:
https://www.twinformatics.at/faq-e-mail-delivery-problems/

Häufige Ursachen für SMTP-Fehler

SPF-Fehler

Beispiel-Fehlermeldung:
550 5.7.1 SPF fail – not authorized sender
554 5.7.1 Sender Policy Framework (SPF) check failed

Typische Ursachen:
• Die E-Mail wurde über einen SMTP-Server versendet, der nicht im SPF-Record der Absenderdomain hinterlegt ist.
• Der SPF-Record der Domain enthält keine include:-Angaben für den verwendeten Drittanbieter (z. B. Newsletter-Dienste wie Sendinblue, Mailchimp, CleverReach).
• Der SPF-Record wurde bei einem Providerwechsel nicht aktualisiert (z. B. von Microsoft 365 auf Google Workspace).
• Der Absender nutzt Webhosting mit „Catch-All“-Einstellungen, aber ohne passenden SPF-Eintrag für den Mailausgang.
• Beim Einsatz mehrerer Systeme (CRM, Shopsystem, Marketing-Mailer) fehlen diese im SPF – die maximale DNS Lookup-Anzahl von 10 wird überschritten (→ Softfail oder Permerror).
• SPF ist formal korrekt, aber die Mail wird über ein offenes Relay oder dynamische IP (z. B. private Mailclients via Internetanbieter) verschickt.

DKIM-Fehler

Beispiel-Fehlermeldung:
DKIM = fail (bad signature)
Authentication-Results: dkim=fail reason=signature verification failed

Typische Ursachen:
• Die E-Mail wurde unterwegs verändert (z. B. durch einen zwischengeschalteten Mail-Gateway oder durch automatisches Weiterleiten mit Header-Rewrite).
• Die DKIM-Signatur ist abgelaufen oder falsch konfiguriert (z. B. falscher Selector).
• Der DNS-Record des DKIM-Selectors fehlt oder ist nicht öffentlich auflösbar.
• Die Domain verwendet unterschiedliche DKIM-Keys auf verschiedenen Systemen, aber es wird immer nur einer veröffentlicht.
• DKIM wird signiert auf mail.example.com, aber die From-Adresse lautet @example.com → kein Alignment für DMARC.

DMARC-Fehler

Beispiel-Fehlermeldung:
5.7.5 Permanent error evaluating DMARC policy
5.7.0 Local Policy Violation – DMARC lookup failed

Typische Ursachen:
• DMARC-Record der Absenderdomain enthält Syntaxfehler (z. B. Leerzeichen, falsche Tags wie policy=reject statt p=reject).
• Es existieren zwei DMARC-Einträge für die Domain → der Resolver kann die Policy nicht interpretieren (Permerror).
• Der DMARC-Record verweist auf einen nicht existenten rua-Report-Empfänger (z. B. falsche Mailadresse, kein MX vorhanden).
• Bei der Domain fehlt ein DMARC-Eintrag – und der empfangende Server lehnt bei SPF/DKIM-Failure ab (Policyentscheidung).
• SPF und DKIM sind einzeln okay, aber es fehlt das Alignment – also: SPF-Domain ≠ From-Domain (z. B. Versand über Subdomain oder Dienstleister).

Automatische Weiterleitungen

Problemursache: Bei Weiterleitungen wird die ursprüngliche Authentifizierung oft ungültig, weil:
• SPF bricht, da die Weiterleitung über ein neues System erfolgt → neue Absender-IP nicht im SPF der Absenderdomain.
• DKIM bricht, wenn z. B. Betreff, Absendername oder technische Header (z. B. MIME-Typ) durch das Weiterleitungssystem verändert werden.
• DMARC schlägt fehl, da SPF & DKIM durch die Weiterleitung nicht mehr gültig sind und kein validiertes Alignment bleibt.

Typische Szenarien:
• Private Postfächer (Gmail, GMX, iCloud) leiten Nachrichten automatisch an vorname.nachname@firma.at weiter.
• Firmen nutzen zentrale „Eingangsverteiler“ mit Weiterleitung auf einzelne Mitarbeiterpostfächer.
• Ein Kollege leitet manuell per Regel oder Weiterleitungskonfiguration Mails von extern weiter, z. B. im Urlaub.
• Ein Newsletter wird an einen Sammelaccount gesendet, der automatisch an eine Gruppe verteilt → DKIM bricht durch Gruppenadresse.

Empfehlung:
• Keine automatischen Weiterleitungen von externen Quellen an Firmenpostfächer.
• Stattdessen Zugriff auf Ursprungs-Postfach einrichten oder Weiterleitung mit SRS (Sender Rewriting Scheme) umsetzen (nur bei Kontrolle über das Forwarding-System möglich).
• Alternativ: Nur Systeme verwenden, bei denen DKIM robust erhalten bleibt (z. B. Google Workspace intern).

Was Sie als Absender tun können
1. SPF-, DKIM- und DMARC-Einträge prüfen (z. B. via mxtoolbox.com oder dmarcian.com)
2. Versand über autorisierte Server sicherstellen
3. Keine automatischen Weiterleitungen ohne Rewrite einrichten
4. Bei Problemen: Fehlermeldung, Absender, Empfänger und Zeitpunkt an den Postmaster senden

Unsere E-Mail-Policy

Nur korrekt authentifizierte Nachrichten werden zugestellt. Das betrifft:
• SPF
• DKIM
• DMARC (p=reject / p=quarantine / p=none)

Es gibt keine Ausnahmen. Diese Policy schützt vor Spoofing, Phishing und betrugsanfälligen Zustellungen.

Vollständige Policy:
https://www.twinformatics.at/twinformatics-e-mail-policy/

Kontakt

postmaster@twinformatics.at

Bitte senden Sie:
• Die originale Fehlermeldung
• Absender- und Empfängeradresse
• Datum und Uhrzeit des Zustellversuchs

Nützliche Links
• https://postmaster.gmx.net/
• https://support.google.com/mail/answer/6596
• https://tools.ietf.org/html/rfc7489

English

twinformatics E-Mail Security Team

Welcome to the information page of the twinformatics GmbH E-Mail Security Team, the IT service provider for companies within the Vienna Insurance Group.

This page provides:
• Common causes of e-mail delivery issues
• Guidance on fixing SPF, DKIM, and DMARC errors
• Access to our official E-Mail Policy

Why was your message not delivered?

You were redirected to this page because your message could not be delivered to a domain managed by us. In most cases, this is due to a technical misconfiguration on the sender’s side.

Affected domains:

airt.at
aquila-hausmanagement.at
biac.at
camelot.gmbh
carplus.at
centralpoint.at
contractors.twinformatics.at
contractor.vig.com
corpnet.at
donauassicurazioni.it
donaubrokerline.at
donauversicherung.at
dvs.co.at
experta.at
experta.co.at
horizont.co.at
igk.co.at
impuls-wissen.at
insurex.at
kapitalanlagen.at
metropolitan.at
platformpartners.vig
riskconsult.at
risklogics.at
s-versicherung.at
staedtische.at
staedtische.co.at
twinfaktor.at
twinformatics.at
vig.com
viunderwriters.com
voeb-direkt.at
wiener.si
wieneritalia.com
wienerstaedtische.at
wienerstaedtische.si
wienerverein.at
wst-versicherungsverein.at
twinfaktor.at
metropolitan.at
centralpoint.at
donauassicurazioni.it
arealis.at

Please forward this link to your IT administrator:
https://www.twinformatics.at/faq-e-mail-delivery-problems/

Common Causes of SMTP Errors

SPF Errors

Example error messages:
550 5.7.1 SPF fail – not authorized sender
554 5.7.1 Sender Policy Framework (SPF) check failed

Typical causes:
• The message was sent through an SMTP server that is not listed in the SPF record of the sending domain.
• The SPF record is missing include: statements for third-party providers (e.g. Sendinblue, Mailchimp, CleverReach).
• The SPF record was not updated after changing the mail provider (e.g. from Microsoft 365 to Google Workspace).
• The sender uses web hosting with a catch-all setup but without a valid SPF record for outbound mail.
• Multiple systems are sending on behalf of the domain (e.g. CRM, shop system, marketing tool), but the SPF record exceeds the 10 DNS lookup limit (→ softfail or permerror).
• The SPF record is syntactically correct, but the message is sent from a dynamic IP or open relay (e.g. private mail client via ISP), which violates policy.

DKIM Errors

Example error messages:
DKIM = fail (bad signature)
Authentication-Results: dkim=fail reason=signature verification failed

Typical causes:
• The message was altered in transit (e.g. by an intermediate mail gateway or during forwarding with header rewriting).
• The DKIM signature is expired or misconfigured (e.g. wrong selector).
• The DKIM DNS record is missing or not publicly resolvable.
• The domain uses multiple DKIM keys across systems but only publishes one selector.
• DKIM signs using mail.example.com but the From: address is @example.com → no alignment for DMARC validation.

DMARC Errors

Example error messages:
5.7.5 Permanent error evaluating DMARC policy
5.7.0 Local Policy Violation – DMARC lookup failed

Typical causes:
• The DMARC record contains syntax errors (e.g. spaces, invalid tags like policy=reject instead of p=reject).
• Multiple conflicting DMARC records exist for the domain → the resolver cannot determine the effective policy (permerror).
• The rua reporting address points to an invalid or non-resolvable mail address (e.g. no MX record).
• The domain lacks a DMARC record altogether – the receiving server rejects messages based on its own local policy when SPF or DKIM fail.
• SPF and DKIM pass individually but fail DMARC due to lack of alignment (e.g. subdomain usage, third-party senders).

Automatic Forwarding

Root cause: Authentication often breaks during message forwarding because:
• SPF fails: the message is relayed through a new IP address not listed in the sender’s SPF record.
• DKIM fails: forwarding systems may modify headers like Subject, From, or MIME-type, breaking the signature.
• DMARC fails: if both SPF and DKIM break, and alignment is lost, the message will not pass DMARC.

Typical scenarios:
• Personal mailboxes (e.g. Gmail, GMX, iCloud) forward messages automatically to firstname.lastname@company.at.
• Companies use shared inbound addresses that forward to individual staff mailboxes.
• Colleagues manually forward external messages via mail rules or delegation (e.g. during absence).
• Newsletters are sent to a group mailbox which then forwards to a distribution list → DKIM fails due to changed headers.

Recommendations:
• Do not set up automatic forwarding from external sources to corporate mailboxes.
• Instead, access the original mailbox directly or use SRS (Sender Rewriting Scheme) if forwarding is unavoidable and under your control.
• Use systems with robust DKIM preservation (e.g. Google Workspace to Google Workspace) where possible.

What You Can Do as a Sender
1. Check your SPF, DKIM, and DMARC setup (e.g. mxtoolbox.com, dmarcian.com)
2. Ensure you are sending via authorized infrastructure
3. Avoid automatic forwarding unless rewriting is applied
4. In case of delivery failure: contact postmaster with error message, sender, recipient, timestamp

Our E-Mail Policy

Only messages that pass authentication are accepted:
• SPF
• DKIM
• DMARC (p=reject / p=quarantine / p=none)

No exceptions. This policy protects against spoofing, phishing, and fraudulent messages.

Full policy:
https://www.twinformatics.at/twinformatics-e-mail-policy/

Contact

postmaster@twinformatics.at

Please include:
• The original error message
• Sender and recipient address
• Date and time of the delivery attempt

Useful Links
• https://postmaster.gmx.net/
• https://support.google.com/mail/answer/6596
• https://tools.ietf.org/html/rfc748

we deliver
for insurance

FAQ E-Mail delivery problems

Meet us!