Wildcard SPF

[Florian]

Hi zusammen,

SPF ist eine Wissenschaft für sich. Man kann dort unglaublich 
komplizierte Konstrukte bauen (siehe z.B. 
https://www.netmeister.org/blog/spf.html ).

Allerdings ist SPF alles andere als unumstritten: Insbesondere für die 
Zustellung bei den "großen" ISPs verliert SPF zunehmend an Bedeutung, 
zugunsten von DKIM. Die wichtigsten Gründe hierfür sind, dass der 
Versender erkennbar und unterscheidbar sein soll. Das bekommt man mit 
auf IP Basis arbeitendem SPF in Shared-IP Umgebungen nicht hin. SPF 
scheitert an Weiterleitungen und bei Mailinglisten. Und spätestens beim 
Thema IPv6 ist die Reputation an IPs nicht mehr sinnvoll verankert.

Viel wichtiger als sich in die Untiefen von SPF zu begeben ist es also, 
DKIM zu signieren und FROM und ENVELOPE Domain aligned zu halten. SPF 
sollte man als Fallback zwar auch noch aufsetzen, aber möglichst in 
einer einfachen, wenig fehleranfälligen Form, die wenige bis keine 
zusätzlichen Lookups benötigt.

Viele Grüße

Florian Vierke
mobile: +49 177 8079538
Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April?

Am 21.12.2022 um 18:24 schrieb Andre via Postfixbuch-users:
> Hallo,
>
> danke für eure Antworten.
>
> > Angenommen wir haben folgende Subdomains:
> > *.example.com. 3600 IN TXT "v=spf1 -all"
> > test.example.com. 3600 IN A 1.1.1.1
>
> Das war bei mir in der Tat die Ursache.
>
> Das ist ja interessant.
> Also darf der Host, der versendet, keinen A-Record besitzen.
>
> D.h. der Absender mail at test.example.com darf keine eigene explizit 
> definierte IP haben, wenn ich einen Wildcard-SPF verwenden möchte.
>
> Gut zu wissen... :-)
>
> Vielen Dank nochmal!
>
> -- 
> LG
> Andre