Wildcard SPF

Florian florian at bodici.de
Fr Dez 23 19:27:12 CET 2022


Hi André,

Einen DMARC Eintrag zu erstellen ist IMMER eine gute Idee.

Der übliche Weg zur Einrichtung ist allerdings etwas anders, als du es 
gemacht hast ;)

1. DMARC Record mit policy none erstellen, um Reports zu empfangen und 
somit ein Bild darüber zu erlangen, wie die Authentifizierung der 
eigenen Domains bereits richtig eingerichtet ist

2. SPF und DKIM bei eigenen Versendungen zu ergänzen, wo es fehlt.

3. Sobald du dir sicher bist, dass alle deine eigenen Versendungen über 
deine Domain korrekt authentifizieren, kannst du die Policy auf reject 
stellen, um die Domain abzusichern. Jede Versendung, die nun von extern 
probiert, deine Domain im FROM zu versenden (zB Phishing) wird künftig 
scheitern, weil externe weder einen gültigen SPF in dein DNS bekommen, 
noch einen DKIM key (daher auch das Erfordernis "aligned". Mit fremden 
Domains kann man schließlich signieren was man will)

4. DMARC Reports weiter beobachten, ob jemand probiert die Domain zu 
abusen (verhindrn kannst du es nicht, aber du hast einen 
Informationsvorteil. Und mit reject Policy wird hoffentlich ein Großteil 
des Traffics von den teilnehmenden Mailservern abgelehnt). Und natürlich 
auch, um zu beobachten, ob SPF / DKIM bei deinen eigenen Prozessen mal 
kaputt geht.

Es ist also ein gutes Monitoring-Tool. Je mehr Teilnehmer mitmachen, 
desto besser. Daher auch der Apell an alle Mailserverbetreiber, nicht 
nur DMARC zu konsumieren, sondern auch Reports zu versenden. Mit rspamd 
läßt sich im Zusammenspiel it dem Postfix recht einfach DMARC reporting 
aktivieren und automatisieren: https://rspamd.com/doc/modules/dmarc.html

Schöne Weihnachten und einen guten Rutsch :)


Florian Vierke
mobile: +49 177 8079538
Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April?

Am 23.12.2022 um 16:07 schrieb Andre via Postfixbuch-users:
> > // v=DMARC1; p=reject;
> > Falls das dein echter Eintrag ist...
>
> Ja, ist so. Hab jetzt auf "none" umgestellt. Da frage ich mich jetzt 
> wozu ich das Ganze gemacht hab.
>
> -- 
> LG
> Andre
>
> Am 23.12.22 um 15:53 schrieb Florian via Postfixbuch-users:
>> // v=DMARC1; p=reject;
>>
>> PS:
>>
>> Falls das dein echter Eintrag ist, würde ich stärkstens empfehlen, 
>> dir auch die Reports zusenden zu lassen, insbesondere wenn du eine 
>> reject policy fährst. Sonst kann es Dir passieren, dass irgendein 
>> mailversendendes Tool oder Prozess kein gültiges DMARC macht und die 
>> Mails dann verloren gehen - und du bekommst es nicht einmal mit.
>>
>> Es gibt kostenlose oder kostenpflichtige Möglichkeiten, grafisch 
>> aufbearbeitete, wöchentliche Mails zu bekommen (wenn man icht alles 
>> selber aufsetzen will). Das würde ich in jedem Fall IMMER dringend 
>> empfehlen aufzusetzen. Bei DMARCadvisor kannst du beispielsweise bis 
>> zu 2 Domains und 10.000 Mails pro Monat im Free tier testen. Aber wie 
>> gesagt, es gibt viele Anbieter :)
>>
>> Viele Grüße,
>>
>> Florian Vierke
>> mobile: +49 177 8079538
>> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 
>> 30. April?
>>
>> Am 23.12.2022 um 13:54 schrieb Andre via Postfixbuch-users:
>>> Moin,
>>>
>>> > Allerdings ist SPF alles andere als unumstritten...
>>>
>>> Ja, sehe ich auch so. Schwachstellen im Design, wie hier die 
>>> Erfahrung mit den Subdomains zeigt.
>>>
>>> Hab hier noch einen Fall.
>>>
>>> Ich verwalte die Domain und habe SPF, DKIM und DMARC ist 
>>> eingerichtet, nennen wir sie hier example.com.
>>>
>>> Der Kunde versendet vom google Mailserver und hat in seinem 
>>> Thunderbird kunde at gmail.com als Benutzername und Absender 
>>> mail at example.com eingerichtet.
>>>
>>> Im SPF von example.com habe ich google-Mailserver inkludiert, sodass 
>>> SPF nachweislich passt.
>>>
>>> Die Mails von dem Kunden werden nicht signiert versendet.
>>>
>>> Hier mein DMARC-Eintrag.
>>>
>>> v=DMARC1; p=reject;
>>>
>>> Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird 
>>> diese von google mit folgender Begründung nicht angenommen:
>>>
>>> -------------------------------
>>> Action: failed
>>> Status: 5.7.26
>>> Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from 
>>> example.com is not accepted due to
>>>  550-5.7.26 domain's DMARC policy. Please contact the administrator of
>>>  550-5.7.26 example.com domain if this was a legitimate mail. Please 
>>> visit
>>> -------------------------------
>>>
>>> Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM 
>>> stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem 
>>> Fall stimmt ja der SPF.
>>>
>>> Warum wird die Mail trotzdem nicht angenommen?
>>> Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen?
>>>
>>> -- 
>>> LG
>>> Andre


Mehr Informationen über die Mailingliste Postfixbuch-users