Irgendwer schickt Mails über meine Domain, sollte ich mir Sorgen machen?

  • Aber solange nicht jeder Mailserver SRS beherrscht, macht SPF mit einem -all oder auch ~all mehr kaputt als es nützt. Mit dieser Einstellungen werden eigene E-Mails über Mailinglisten abgewiesen und auch Weiterleitungen funktionieren nicht. Ich kann deshalb nur immer wieder davon abraten, die auch in diesem Thread genannten Einstellungen -all/~all, zu verwenden.


    Edit: Ich möchte das einmal an einem ganz konkreten Beispiel skizzieren. netcup.de hat auch einen SPF-Eintrag mit -all. Nehmen wir an, es gibt einen Mitarbeiter bei netcup, der gelegentlich an Mailinglisten schreibt. Der Einfachheit halber nennen wir diesen Mitarbeiter mal Felix. Felix schickt also von seiner netcup.de-Adresse eine E-Mail an eine Mailingliste. Der Server der Mailingliste verteilt anschließend Felix' E-Mail an alle Teilnehmer weiter. Das bedeutet also, dass vom Mailinglisten-Server eine E-Mail erzeugt, die als Absender die netup.de-Adresse von Felix trägt, jedoch von einem Server geschickt wird, dessen IP-Adresse nicht in der SPF-Liste der erlaubten Mailserver auftaucht. Folgerichtig müssten nun die Mailprovider der Teilnehmer die E-Mail von Felix abweisen, da netcup explizit die Regel -all in der SPF-Policy definiert.

  • Bitte schau Dir einmal an, wie z.B. Mailman konfiguriert werden kann. Das ist alles kein Problem, wenn man es richtig macht, wie viele Listen auf der Welt. Verstehe mich nicht falsch, ich weiß, wie das alles funktioniert. Ich habe mich ausreichend mit dieser ganzen Materie in der Praxis beschäftigt. Und nicht erst seit gestern… ;)


    In Wirklichkeit sieht es nämlich so aus: Reguläre E-Mail Weiterleitungen sind Broken by Design! Und das muss man erst einmal einsehen. Das ist reine Faulheit der User und Anbieter. Da ist es vollkommen egal, ob der Schuldige nun $FirmaXYZ, SPF, DKIM oder DMARC heißt. Die Technik veändert sich in 20 Jahren, ist nun einmal so. E-Mail Weiterleitungen haben viel zu viele andere Fehlerquellen, als das sie zu 100% stabil laufen könnten. Da wird immer etwas verloren gehen.


    Der Stand der Technik heißt: Fetchmail/Getmail. Alles andere ist eine Krücke, die zwar leicht benutzt werden kann, aber schnell Schäden verursacht, die man nicht einmal bemerkt.



    MfG Christian


    PS: Falls ich etwas doppelt geschrieben oder vergessen habe, sorry. Ich diskutiere das gleiche Thema gerade in 3 Foren.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • In einer Welt ohne Weiterleitungen und ohne die von mir beschriebenen Mailinglisten mag SPF durchaus funktionieren. Aber Weiterleitungen und Mailinglisten sind extrem weit verbreitet, weshalb SPF in der heutigen E-Mail Welt nicht funktioniert.
    Soweit sind wir uns ja einig: Entweder Weiterleitungen/Mailinglisten XOR SPF. Aber beides zusammen geht halt nicht.
    Da SPF aber deutlich später kam, bleibe ich dabei zu behaupten, dass SPF Broken by Design ist, da es eben nicht in die bereits bestehenden Techniken integriert werden kann.


    Viele Grüße
    Thomas

  • In welchem ursprünglichen Standard sind denn Weiterleitungen definiert? Oder anders gefragt: Wie viele der ursprünglichen "Features" bei E-Mails und dessen Kommunikation wurden schon vor langer Zeit eingestellt, obwohl das früher immer genutzt wurde? ;)


    Du darfst bei Weiterleitungen nicht vergessen, dass der weiterleitende Mailserver schnell zum Spamversender wird! Mit Bounces kann es auch lustig werden. Da ist SPF/DKIM/DMARC/SRS noch gar nicht im Spiel. Und trotzdem ist es schon kaputt.


    Und die Sache mit den Mailinglisten hast Du offenbar nicht ganz verstanden. Bitte lies einmal, was SPF genau prüft, und wie Mailman und viele andere Programme arbeiten. Man kann es auch absichtlich kaputt konfigurieren. Solche Mailinglisten sind aber relativ selten. Wobei es manche Admins sogar schaffen, dass man keine E-Mail Domains mit Subdomains nutzen kann. Es gibt tatsächlich alles…


    Wir sind uns da eben nicht einig. Es geht recht wohl beides. Nur im Falle von Weiterleitungen macht es selbst mit SRS immer weniger Sinn, falls es den überhaupt jemals gemacht hat.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ich will gar nicht drüber diskutieren, ob Weiterleitungen sinnvoll sind und wie man Mailinglistenserver konfigurieren sollte. Die E-Mail-Welt ist sehr heterogen mit sehr unterschiedlichen System und Admin-Kompetenzen. Man könnte SPF nutzen, wenn alle Mailsysteme wie von dir beschrieben konfiguriert wären. Dem ist aber nicht so, weshalb ich weiter davor warne ein -all oder ~all in die SPF-Policy zu schreiben.

  • Eines noch, dann gebe ich endlich Ruhe! :D :)


    Das ist genauso wie mit TLS. Im Moment ist es quasi unmöglich über SMTP STARTTLS zu erzwingen, weil es viel zu viele Server ohne TLS probieren. Und ich fürchte das wird auch noch in 10-20 Jahren nicht anders sein. Der globale Stillstand in manchen Bereichen von Mailservern ist unerträglich.


    Dein Warnhinweis mag gerechtfertigt sein, dagegen will ich gar nichts sagen. Ich wollte vorhin nur klar stellen, dass es nicht so schwarz/weiß ist, wie viele oft behaupten. Viele Punkte in irgendwelchen Artikeln im Internet sind schlichtweg falsch und eine reine Hetze gegen SPF. Weiterleitungen sind trotzdem Broken by Design, zu dieser Aussage stehe ich.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)