Wildcard SPF

Florian Vierke florian at bodici.de
Sa Dez 24 14:02:54 CET 2022 

Hi Andre,

nicht ganz: der DMARC none Eintrag ist hilfreich, weil er Reports 
liefert ohne bereits aktiv Traffic zu blocken. Es ist also der "dry-run" 
für deine Mailserverkonfiguration.

Und DKIM geht bei Weiterleitungen normalerweise (im Gegensatz zu SPF) 
nicht kaputt - daher ist es unter anderem so wichtig, DKIM zu machen!

Schöne Weihnachten ,


Florian Vierke
mobile: +49 177 8079538
Motto des Jahres: ... und wo warst du am 12. Februar 2022? ... und wo am 30. April!?

Am 23.12.22 um 23:43 schrieb Andre via Postfixbuch-users:
> Hallo,
>
> danke für eure Erklärungen und eure Tipps!
>
> Schließlich bedeutet das Ganze Folgendes für E-Mail-Weiterleitungen 
> bei meinem(einem) Mailserver.
>
> DMARC-Eintrag muss bei allen Domains auf "none" oder ganz weg.
>
> Denn, hat der Absender DKIM nicht richtig gesetzt UND wertet der 
> Empfänger den Eintrag aus UND ich setze ich auf
>
> reject => Mails werden vom Empfänger abgewiesen
> quarantine => Mails landen im Spam-Ordner (wohl noch schlimmer als 
> reject)
> none => keine Wirkung, wozu dann der DMARC-Eintrag?
>
> Habe ich es richtig interpretiert?
>
> -- 
> LG
> Andre
> Am 23.12.22 um 19:27 schrieb Florian via Postfixbuch-users:
>> Hi André,
>>
>> Einen DMARC Eintrag zu erstellen ist IMMER eine gute Idee.
>>
>> Der übliche Weg zur Einrichtung ist allerdings etwas anders, als du 
>> es gemacht hast ;)
>>
>> 1. DMARC Record mit policy none erstellen, um Reports zu empfangen 
>> und somit ein Bild darüber zu erlangen, wie die Authentifizierung der 
>> eigenen Domains bereits richtig eingerichtet ist
>>
>> 2. SPF und DKIM bei eigenen Versendungen zu ergänzen, wo es fehlt.
>>
>> 3. Sobald du dir sicher bist, dass alle deine eigenen Versendungen 
>> über deine Domain korrekt authentifizieren, kannst du die Policy auf 
>> reject stellen, um die Domain abzusichern. Jede Versendung, die nun 
>> von extern probiert, deine Domain im FROM zu versenden (zB Phishing) 
>> wird künftig scheitern, weil externe weder einen gültigen SPF in dein 
>> DNS bekommen, noch einen DKIM key (daher auch das Erfordernis 
>> "aligned". Mit fremden Domains kann man schließlich signieren was man 
>> will)
>>
>> 4. DMARC Reports weiter beobachten, ob jemand probiert die Domain zu 
>> abusen (verhindrn kannst du es nicht, aber du hast einen 
>> Informationsvorteil. Und mit reject Policy wird hoffentlich ein 
>> Großteil des Traffics von den teilnehmenden Mailservern abgelehnt). 
>> Und natürlich auch, um zu beobachten, ob SPF / DKIM bei deinen 
>> eigenen Prozessen mal kaputt geht.
>>
>> Es ist also ein gutes Monitoring-Tool. Je mehr Teilnehmer mitmachen, 
>> desto besser. Daher auch der Apell an alle Mailserverbetreiber, nicht 
>> nur DMARC zu konsumieren, sondern auch Reports zu versenden. Mit 
>> rspamd läßt sich im Zusammenspiel it dem Postfix recht einfach DMARC 
>> reporting aktivieren und automatisieren: 
>> https://rspamd.com/doc/modules/dmarc.html
>>
>> Schöne Weihnachten und einen guten Rutsch :)
>>
>>
>> Florian Vierke
>> mobile: +49 177 8079538
>> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 
>> 30. April?
>>
>> Am 23.12.2022 um 16:07 schrieb Andre via Postfixbuch-users:
>>> > // v=DMARC1; p=reject;
>>> > Falls das dein echter Eintrag ist...
>>>
>>> Ja, ist so. Hab jetzt auf "none" umgestellt. Da frage ich mich jetzt 
>>> wozu ich das Ganze gemacht hab.
>>>
>>> -- 
>>> LG
>>> Andre
>>>
>>> Am 23.12.22 um 15:53 schrieb Florian via Postfixbuch-users:
>>>> // v=DMARC1; p=reject;
>>>>
>>>> PS:
>>>>
>>>> Falls das dein echter Eintrag ist, würde ich stärkstens empfehlen, 
>>>> dir auch die Reports zusenden zu lassen, insbesondere wenn du eine 
>>>> reject policy fährst. Sonst kann es Dir passieren, dass irgendein 
>>>> mailversendendes Tool oder Prozess kein gültiges DMARC macht und 
>>>> die Mails dann verloren gehen - und du bekommst es nicht einmal mit.
>>>>
>>>> Es gibt kostenlose oder kostenpflichtige Möglichkeiten, grafisch 
>>>> aufbearbeitete, wöchentliche Mails zu bekommen (wenn man icht alles 
>>>> selber aufsetzen will). Das würde ich in jedem Fall IMMER dringend 
>>>> empfehlen aufzusetzen. Bei DMARCadvisor kannst du beispielsweise 
>>>> bis zu 2 Domains und 10.000 Mails pro Monat im Free tier testen. 
>>>> Aber wie gesagt, es gibt viele Anbieter :)
>>>>
>>>> Viele Grüße,
>>>>
>>>> Florian Vierke
>>>> mobile: +49 177 8079538
>>>> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und 
>>>> am 30. April?
>>>>
>>>> Am 23.12.2022 um 13:54 schrieb Andre via Postfixbuch-users:
>>>>> Moin,
>>>>>
>>>>> > Allerdings ist SPF alles andere als unumstritten...
>>>>>
>>>>> Ja, sehe ich auch so. Schwachstellen im Design, wie hier die 
>>>>> Erfahrung mit den Subdomains zeigt.
>>>>>
>>>>> Hab hier noch einen Fall.
>>>>>
>>>>> Ich verwalte die Domain und habe SPF, DKIM und DMARC ist 
>>>>> eingerichtet, nennen wir sie hier example.com.
>>>>>
>>>>> Der Kunde versendet vom google Mailserver und hat in seinem 
>>>>> Thunderbird kunde at gmail.com als Benutzername und Absender 
>>>>> mail at example.com eingerichtet.
>>>>>
>>>>> Im SPF von example.com habe ich google-Mailserver inkludiert, 
>>>>> sodass SPF nachweislich passt.
>>>>>
>>>>> Die Mails von dem Kunden werden nicht signiert versendet.
>>>>>
>>>>> Hier mein DMARC-Eintrag.
>>>>>
>>>>> v=DMARC1; p=reject;
>>>>>
>>>>> Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird 
>>>>> diese von google mit folgender Begründung nicht angenommen:
>>>>>
>>>>> -------------------------------
>>>>> Action: failed
>>>>> Status: 5.7.26
>>>>> Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from 
>>>>> example.com is not accepted due to
>>>>>  550-5.7.26 domain's DMARC policy. Please contact the 
>>>>> administrator of
>>>>>  550-5.7.26 example.com domain if this was a legitimate mail. 
>>>>> Please visit
>>>>> -------------------------------
>>>>>
>>>>> Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM 
>>>>> stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem 
>>>>> Fall stimmt ja der SPF.
>>>>>
>>>>> Warum wird die Mail trotzdem nicht angenommen?
>>>>> Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen?
>>>>>
>>>>> -- 
>>>>> LG
>>>>> Andre
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20221224/7406d142/attachment.htm>

Mehr Informationen über die Mailingliste Postfixbuch-users