Wildcard SPF
Florian
florian at bodici.de
Fr Dez 23 19:27:12 CET 2022
Hi André,
Einen DMARC Eintrag zu erstellen ist IMMER eine gute Idee.
Der übliche Weg zur Einrichtung ist allerdings etwas anders, als du es
gemacht hast ;)
1. DMARC Record mit policy none erstellen, um Reports zu empfangen und
somit ein Bild darüber zu erlangen, wie die Authentifizierung der
eigenen Domains bereits richtig eingerichtet ist
2. SPF und DKIM bei eigenen Versendungen zu ergänzen, wo es fehlt.
3. Sobald du dir sicher bist, dass alle deine eigenen Versendungen über
deine Domain korrekt authentifizieren, kannst du die Policy auf reject
stellen, um die Domain abzusichern. Jede Versendung, die nun von extern
probiert, deine Domain im FROM zu versenden (zB Phishing) wird künftig
scheitern, weil externe weder einen gültigen SPF in dein DNS bekommen,
noch einen DKIM key (daher auch das Erfordernis "aligned". Mit fremden
Domains kann man schließlich signieren was man will)
4. DMARC Reports weiter beobachten, ob jemand probiert die Domain zu
abusen (verhindrn kannst du es nicht, aber du hast einen
Informationsvorteil. Und mit reject Policy wird hoffentlich ein Großteil
des Traffics von den teilnehmenden Mailservern abgelehnt). Und natürlich
auch, um zu beobachten, ob SPF / DKIM bei deinen eigenen Prozessen mal
kaputt geht.
Es ist also ein gutes Monitoring-Tool. Je mehr Teilnehmer mitmachen,
desto besser. Daher auch der Apell an alle Mailserverbetreiber, nicht
nur DMARC zu konsumieren, sondern auch Reports zu versenden. Mit rspamd
läßt sich im Zusammenspiel it dem Postfix recht einfach DMARC reporting
aktivieren und automatisieren: https://rspamd.com/doc/modules/dmarc.html
Schöne Weihnachten und einen guten Rutsch :)
Florian Vierke
mobile: +49 177 8079538
Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April?
Am 23.12.2022 um 16:07 schrieb Andre via Postfixbuch-users:
> > // v=DMARC1; p=reject;
> > Falls das dein echter Eintrag ist...
>
> Ja, ist so. Hab jetzt auf "none" umgestellt. Da frage ich mich jetzt
> wozu ich das Ganze gemacht hab.
>
> --
> LG
> Andre
>
> Am 23.12.22 um 15:53 schrieb Florian via Postfixbuch-users:
>> // v=DMARC1; p=reject;
>>
>> PS:
>>
>> Falls das dein echter Eintrag ist, würde ich stärkstens empfehlen,
>> dir auch die Reports zusenden zu lassen, insbesondere wenn du eine
>> reject policy fährst. Sonst kann es Dir passieren, dass irgendein
>> mailversendendes Tool oder Prozess kein gültiges DMARC macht und die
>> Mails dann verloren gehen - und du bekommst es nicht einmal mit.
>>
>> Es gibt kostenlose oder kostenpflichtige Möglichkeiten, grafisch
>> aufbearbeitete, wöchentliche Mails zu bekommen (wenn man icht alles
>> selber aufsetzen will). Das würde ich in jedem Fall IMMER dringend
>> empfehlen aufzusetzen. Bei DMARCadvisor kannst du beispielsweise bis
>> zu 2 Domains und 10.000 Mails pro Monat im Free tier testen. Aber wie
>> gesagt, es gibt viele Anbieter :)
>>
>> Viele Grüße,
>>
>> Florian Vierke
>> mobile: +49 177 8079538
>> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am
>> 30. April?
>>
>> Am 23.12.2022 um 13:54 schrieb Andre via Postfixbuch-users:
>>> Moin,
>>>
>>> > Allerdings ist SPF alles andere als unumstritten...
>>>
>>> Ja, sehe ich auch so. Schwachstellen im Design, wie hier die
>>> Erfahrung mit den Subdomains zeigt.
>>>
>>> Hab hier noch einen Fall.
>>>
>>> Ich verwalte die Domain und habe SPF, DKIM und DMARC ist
>>> eingerichtet, nennen wir sie hier example.com.
>>>
>>> Der Kunde versendet vom google Mailserver und hat in seinem
>>> Thunderbird kunde at gmail.com als Benutzername und Absender
>>> mail at example.com eingerichtet.
>>>
>>> Im SPF von example.com habe ich google-Mailserver inkludiert, sodass
>>> SPF nachweislich passt.
>>>
>>> Die Mails von dem Kunden werden nicht signiert versendet.
>>>
>>> Hier mein DMARC-Eintrag.
>>>
>>> v=DMARC1; p=reject;
>>>
>>> Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird
>>> diese von google mit folgender Begründung nicht angenommen:
>>>
>>> -------------------------------
>>> Action: failed
>>> Status: 5.7.26
>>> Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from
>>> example.com is not accepted due to
>>> 550-5.7.26 domain's DMARC policy. Please contact the administrator of
>>> 550-5.7.26 example.com domain if this was a legitimate mail. Please
>>> visit
>>> -------------------------------
>>>
>>> Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM
>>> stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem
>>> Fall stimmt ja der SPF.
>>>
>>> Warum wird die Mail trotzdem nicht angenommen?
>>> Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen?
>>>
>>> --
>>> LG
>>> Andre
Mehr Informationen über die Mailingliste Postfixbuch-users