Wildcard SPF

Andre stickybit at myhm.de
Fr Dez 23 23:43:01 CET 2022 

Hallo,

danke für eure Erklärungen und eure Tipps!

Schließlich bedeutet das Ganze Folgendes für E-Mail-Weiterleitungen bei 
meinem(einem) Mailserver.

DMARC-Eintrag muss bei allen Domains auf "none" oder ganz weg.

Denn, hat der Absender DKIM nicht richtig gesetzt UND wertet der 
Empfänger den Eintrag aus UND ich setze ich auf

reject => Mails werden vom Empfänger abgewiesen
quarantine => Mails landen im Spam-Ordner (wohl noch schlimmer als reject)
none => keine Wirkung, wozu dann der DMARC-Eintrag?

Habe ich es richtig interpretiert?

--
LG
Andre
Am 23.12.22 um 19:27 schrieb Florian via Postfixbuch-users:
> Hi André,
> 
> Einen DMARC Eintrag zu erstellen ist IMMER eine gute Idee.
> 
> Der übliche Weg zur Einrichtung ist allerdings etwas anders, als du es 
> gemacht hast ;)
> 
> 1. DMARC Record mit policy none erstellen, um Reports zu empfangen und 
> somit ein Bild darüber zu erlangen, wie die Authentifizierung der 
> eigenen Domains bereits richtig eingerichtet ist
> 
> 2. SPF und DKIM bei eigenen Versendungen zu ergänzen, wo es fehlt.
> 
> 3. Sobald du dir sicher bist, dass alle deine eigenen Versendungen über 
> deine Domain korrekt authentifizieren, kannst du die Policy auf reject 
> stellen, um die Domain abzusichern. Jede Versendung, die nun von extern 
> probiert, deine Domain im FROM zu versenden (zB Phishing) wird künftig 
> scheitern, weil externe weder einen gültigen SPF in dein DNS bekommen, 
> noch einen DKIM key (daher auch das Erfordernis "aligned". Mit fremden 
> Domains kann man schließlich signieren was man will)
> 
> 4. DMARC Reports weiter beobachten, ob jemand probiert die Domain zu 
> abusen (verhindrn kannst du es nicht, aber du hast einen 
> Informationsvorteil. Und mit reject Policy wird hoffentlich ein Großteil 
> des Traffics von den teilnehmenden Mailservern abgelehnt). Und natürlich 
> auch, um zu beobachten, ob SPF / DKIM bei deinen eigenen Prozessen mal 
> kaputt geht.
> 
> Es ist also ein gutes Monitoring-Tool. Je mehr Teilnehmer mitmachen, 
> desto besser. Daher auch der Apell an alle Mailserverbetreiber, nicht 
> nur DMARC zu konsumieren, sondern auch Reports zu versenden. Mit rspamd 
> läßt sich im Zusammenspiel it dem Postfix recht einfach DMARC reporting 
> aktivieren und automatisieren: https://rspamd.com/doc/modules/dmarc.html
> 
> Schöne Weihnachten und einen guten Rutsch :)
> 
> 
> Florian Vierke
> mobile: +49 177 8079538
> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 
> 30. April?
> 
> Am 23.12.2022 um 16:07 schrieb Andre via Postfixbuch-users:
>> > // v=DMARC1; p=reject;
>> > Falls das dein echter Eintrag ist...
>>
>> Ja, ist so. Hab jetzt auf "none" umgestellt. Da frage ich mich jetzt 
>> wozu ich das Ganze gemacht hab.
>>
>> -- 
>> LG
>> Andre
>>
>> Am 23.12.22 um 15:53 schrieb Florian via Postfixbuch-users:
>>> // v=DMARC1; p=reject;
>>>
>>> PS:
>>>
>>> Falls das dein echter Eintrag ist, würde ich stärkstens empfehlen, 
>>> dir auch die Reports zusenden zu lassen, insbesondere wenn du eine 
>>> reject policy fährst. Sonst kann es Dir passieren, dass irgendein 
>>> mailversendendes Tool oder Prozess kein gültiges DMARC macht und die 
>>> Mails dann verloren gehen - und du bekommst es nicht einmal mit.
>>>
>>> Es gibt kostenlose oder kostenpflichtige Möglichkeiten, grafisch 
>>> aufbearbeitete, wöchentliche Mails zu bekommen (wenn man icht alles 
>>> selber aufsetzen will). Das würde ich in jedem Fall IMMER dringend 
>>> empfehlen aufzusetzen. Bei DMARCadvisor kannst du beispielsweise bis 
>>> zu 2 Domains und 10.000 Mails pro Monat im Free tier testen. Aber wie 
>>> gesagt, es gibt viele Anbieter :)
>>>
>>> Viele Grüße,
>>>
>>> Florian Vierke
>>> mobile: +49 177 8079538
>>> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 
>>> 30. April?
>>>
>>> Am 23.12.2022 um 13:54 schrieb Andre via Postfixbuch-users:
>>>> Moin,
>>>>
>>>> > Allerdings ist SPF alles andere als unumstritten...
>>>>
>>>> Ja, sehe ich auch so. Schwachstellen im Design, wie hier die 
>>>> Erfahrung mit den Subdomains zeigt.
>>>>
>>>> Hab hier noch einen Fall.
>>>>
>>>> Ich verwalte die Domain und habe SPF, DKIM und DMARC ist 
>>>> eingerichtet, nennen wir sie hier example.com.
>>>>
>>>> Der Kunde versendet vom google Mailserver und hat in seinem 
>>>> Thunderbird kunde at gmail.com als Benutzername und Absender 
>>>> mail at example.com eingerichtet.
>>>>
>>>> Im SPF von example.com habe ich google-Mailserver inkludiert, sodass 
>>>> SPF nachweislich passt.
>>>>
>>>> Die Mails von dem Kunden werden nicht signiert versendet.
>>>>
>>>> Hier mein DMARC-Eintrag.
>>>>
>>>> v=DMARC1; p=reject;
>>>>
>>>> Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird 
>>>> diese von google mit folgender Begründung nicht angenommen:
>>>>
>>>> -------------------------------
>>>> Action: failed
>>>> Status: 5.7.26
>>>> Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from 
>>>> example.com is not accepted due to
>>>>  550-5.7.26 domain's DMARC policy. Please contact the administrator of
>>>>  550-5.7.26 example.com domain if this was a legitimate mail. Please 
>>>> visit
>>>> -------------------------------
>>>>
>>>> Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM 
>>>> stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem 
>>>> Fall stimmt ja der SPF.
>>>>
>>>> Warum wird die Mail trotzdem nicht angenommen?
>>>> Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen?
>>>>
>>>> -- 
>>>> LG
>>>> Andre

Mehr Informationen über die Mailingliste Postfixbuch-users