Wildcard SPF
Florian
florian at bodici.de
Mi Dez 21 21:38:31 CET 2022
Hi zusammen,
SPF ist eine Wissenschaft für sich. Man kann dort unglaublich
komplizierte Konstrukte bauen (siehe z.B.
https://www.netmeister.org/blog/spf.html ).
Allerdings ist SPF alles andere als unumstritten: Insbesondere für die
Zustellung bei den "großen" ISPs verliert SPF zunehmend an Bedeutung,
zugunsten von DKIM. Die wichtigsten Gründe hierfür sind, dass der
Versender erkennbar und unterscheidbar sein soll. Das bekommt man mit
auf IP Basis arbeitendem SPF in Shared-IP Umgebungen nicht hin. SPF
scheitert an Weiterleitungen und bei Mailinglisten. Und spätestens beim
Thema IPv6 ist die Reputation an IPs nicht mehr sinnvoll verankert.
Viel wichtiger als sich in die Untiefen von SPF zu begeben ist es also,
DKIM zu signieren und FROM und ENVELOPE Domain aligned zu halten. SPF
sollte man als Fallback zwar auch noch aufsetzen, aber möglichst in
einer einfachen, wenig fehleranfälligen Form, die wenige bis keine
zusätzlichen Lookups benötigt.
Viele Grüße
Florian Vierke
mobile: +49 177 8079538
Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April?
Am 21.12.2022 um 18:24 schrieb Andre via Postfixbuch-users:
> Hallo,
>
> danke für eure Antworten.
>
> > Angenommen wir haben folgende Subdomains:
> > *.example.com. 3600 IN TXT "v=spf1 -all"
> > test.example.com. 3600 IN A 1.1.1.1
>
> Das war bei mir in der Tat die Ursache.
>
> Das ist ja interessant.
> Also darf der Host, der versendet, keinen A-Record besitzen.
>
> D.h. der Absender mail at test.example.com darf keine eigene explizit
> definierte IP haben, wenn ich einen Wildcard-SPF verwenden möchte.
>
> Gut zu wissen... :-)
>
> Vielen Dank nochmal!
>
> --
> LG
> Andre
Mehr Informationen über die Mailingliste Postfixbuch-users