[Postfixbuch-users] Was tun wenn SPF nicht überall funktioniert?

Peer Heinlein p.heinlein at heinlein-support.de
Mo Mai 31 22:25:13 CEST 2010 

Am Montag 31 Mai 2010 18:35:09 schrieb Andreas Pothe:

> > Dort sind mehrere Slides zu dem Thema, warum SPF nicht geht. Ja,
> > ich meine u.a. genau die, mit den lustigen blauen Bildchen.
> 
> Da ist aber keine belegte Begründung drin, warum SPF nicht gehe,

Ich habe nicht geschrieben, daß "SPF nicht geht", sondern ich habe 
gesagt, daß es "broken by design" ist. Das ist etwas anderes.

Natürlich "geht" SPF in dem Sinne, als daß Mails nicht ankommen, wenn 
man "-all" definiert. Richtig.

>  sondern nur Hinweise auf offensichtliche Fehlkonfigurationen. Und
>  das gilt nicht.

Nein, weil "Weiterleitungen" keine Fehlkonfiguration sind, sondern 
alltägliche Praxis. Und selbst diese banalen Fälle kann SPF nicht so 
abdecken, daß es funktioniert. Das nenne ich "broken by design".

> Würde ich ja machen, allein habe ich bislang noch keine Beweisführung
> gesehen, auf die ich antworten könnte.

Nochmal:

Jeder, der "-all" definiert, wird E-Mails verlieren, sobald schon der 
Empfänger eine E-Mail-Weiterleitung hat.

Es ist nicht möglich, mit SPF eine restriktive Einstellung wie "-all" zu 
haben (genau diese wäre aber im Sinne eines Spamschutzes notwendig) ohne 
dabei nicht auch Mails zu verlieren.

SPF versagt also "by design", da SPF sich auf die IP-Adresse des 
Absenders bezieht -- und im Falle von Weiterleitungen also scheitern 
muß.

DKIM löst *exakt* die gleiche Aufgabe (und noch viel mehr) in einer Art 
und Weise, die bei Weiterleitungen keinerlei Probleme macht.

Insofern stellt sich auch die Frage: Warum um Himmels Willen SPF 
hochhalten, wenn DKIM das ganze problemlos handhabt. Ich sehe keinen 
Fall, wo SPF etwas besser löst, als DKIM oder wo SPF etwas ermöglicht, 
was mir DKIM nicht ermöglicht.
 
> > Aber es funktioniert nicht so, wie die Leute sich das vorstellen
> > und es ist für ein Unternehmen heute nicht zu verantworten ein
> > "-all" zu setzen, da sie sonst fortlaufend Mails verlieren.
> 
> Das scheinen einige nicht gerade kleine Unternehmen aber anders zu
>  sehen. Beispiele gefällig?

Einige dieser von Dir zitierten Mailsysteme habe *ich* gebaut und einige 
der Administratoren der anderen von Dir Firmen, waren bei mir in der 
Schulung oder haben das Know-how als Consulting-Dienst von mir bekommen.

Du brauchst mir nicht meine eigenen Kunden vorführen -- ich kenne die. 
:-)

Im Falle der Postbank ist es übrigens so, daß ich genau dieses Beispiel 
Postbank in meinen Vorträgen dafür heranziehe, wo SPF zwar weiterhin 
"broken by design" ist, aber nach Abwägung von Vor- und Nachteilen man 
zu dem Schluß kommen kann, daß man wohl oder übel SPF trotzdem als 
"-all"einsetzt. Fast jeder Postfix-Kurs-Teilnehmer kennt die SPF-
Diskussion genau am Beispiel Postbank...

Weil die Vorteile (Phishing-Schutz) den Nachteilen (tatsächlicher 
Mailverlust) eben noch überwiegen. Insofern ist es kein Wunder daß Du 
ausgerechnet die Versender aufgezählt hast, die ganz besonders unter 
Phishing leiden (Banken, Amazon).

In diesen Fällen kann man zu dem Schluß kommen, daß man SPF restriktiv 
mit "-all" einsetzt. Aber dann weiß man eben auch (sofern man was davon 
versteht), daß man Mails verliert. Man weiß, daß es nicht verlustfrei 
funktioniert. Man weiß, daß Mails auf der Strecke bleiben. Man weiß, daß 
das alles andere als toll ist. Man weiß, daß man das nur in Kauf nimmt, 
weil massives Phishing das größere der beiden Übel ist und noch größere 
Schäden anrichtet.

Das ändert aber nichts dran, daß SPF immernoch "broken by design" ist, 
weil es eben nicht verlustfrei geht.

Als Bank oder Amazon kann man das schulterzuckend in Kauf nehmen. Diese 
Absender können ja für sich entscheiden, daß *ihre* Mails im Zweifel 
lieber nicht ankommen (was Probleme macht), sie aber besseren Phishing-
Schutz haben (was sonst eben noch mehr Probleme macht). 

Für einen ISP wie GMX halte ich das hingegen für absolut 
verantwortungslos. Denn hier geht es nicht um die "eigenen" Mails, 
sondern um die Mails der (total ahnungslosen) Kunden, die auf den Müll 
geworfen werden. 

Und nicht nur ich halte das für verantwortungslos: Beim Anti-Spam-Summit 
vor zwei oder drei Jahren in Wiesbaden, anläßlich diverser guter 
Flaschen Rotwein (mjamm, mjamm) auf Einladung des Ministerpräsidenten in 
der Staatskanzlei :-), bildete sich eine heftige SPF-Gesprächsrunde von 
7 Leuten. Enthalten neben meiner Wenigkeit: Die Postmaster fast aller 
großen ISPs und Hoster. 

Was soll ich sagen: Es stand ganz definitiv 6:1 bei der Frage, ob SPF 
Bullshit ist, oder nicht. Der Kollege von GMX hatte einen wirklich 
schweren Stand so alleine gegen alle und das Gespräch wurde dann 
zugunsten weiterer Rotweinflaschen (und einer Nachschub-Expedition zum 
Buffet) irgendwann ergebnislos abgebrochen.

Aber zurück zu Vor- und Nachteilen:

Ja, für eine Bank kann es notwendiges Übel sein, diese Nachteile 
(bewußt) in Kauf zu nehmen. 

Für ein normales Unternehmen, daß kaum Opfer von Phishing ist und daher 
kaum Schutz aus einem "-all" zieht, wird man kaum erkennen können, warum 
bewußter täglicher Mailverlust akzeptabel oder gar sinnvoll sein soll. 

Das Problem: 29 von 30 Normal-Postmastern haben nicht verstanden, daß 
sie bei "-all" ihre E-Mails verlieren. Sie wissen es einfach nicht und 
wenden an, was sie aus einem Howto irgendwo so abgeschrieben haben. 
Teilweise merken sie es irgendwann -- teilweise nicht.

Aber, das ändert immer noch nichts:

SPF ist nicht in der Lage den Mailverkehr zu sichern, ohne daß E-Mails 
bei alltäglichen Situationen verloren gehen. Das nenne ich immernoch 
"broken by design".

Aber natürlich ist SPF in der Lage Phishing-Maißbrauch zu unterbinden, 
wenn man den Verlust normaler E-Mails in Kauf nimmt. Das nennst Du 
anscheinent "funktioniert" -- und damit haben wir zwei anscheinend ganz 
einfach sehr unterschiedliche Auslegungsformen von "geht" und/oder "geht 
nicht".

Peer

-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin

Mehr Informationen über die Mailingliste Postfixbuch-users