Spaß mit "falschem" SPF

[Tom Mittelstädt]

Hallo in die Runde,

Am Freitag, 9. Juni 2023, 09:03:10 CEST schrieb Klaus Tachtler via 
Postfixbuch-users:
> https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejec
> ts-durch-spf

Also, ich muss ganz ehrlich sein, ich teile (im Geschäftsumfeld) keinen 
einzigen der aufgeführten Punkte gegen "-all":

> Absender können immer auch von anderen Mailservern kommen

Warum sollten sie? Betreibe ich Domains und MX im Unternehmensumfeld (und hab 
dann evtl. auch noch die ein oder andere Zertifizierung), will ich idr. ja 
genau das eben nicht. Ich alleine möchte ausgehende Kommunikation unter 
Kontrolle haben, um bspw. auch ausgehende Kommunikation hinsichtlich Spam 
überwachen zu können.

> So können Mails
> 
> ...von einem User von Provider A an sein Postfach bei Provider B
> weitergeleitet werde

Warum sollte ich das wollen? DSGVO grüßt. Ich will nicht, dass Person seine 
Geschäftssachen aus Bequemlichkeit auf seine privat-Accounts umleiten kann, 
und darf das auch garnicht gutheißen.

> ...von einer Mailingliste an eine Vielzahl von Empfängern verteilt werden
> Hier wird der Envelope-Absender i.d.R. auf die Mailingliste zeigen, das
> Header-From jedoch unangetastet bleiben.

Ist aber völlig egal, da bei SPF-Validierung nicht der "From: " Text im 
Header, den der Sender da ja "freitext" reingeschrieben hat, sondern das "MAIL 
FROM: " im SMTP Handshake angeschaut wird (wobei sich das Header-From: und das 
MAIL FROM: natürlich unterscheiden können und dürfen, wenn der sendende MX das 
zulässt, bspw. um irgendwelche gewollten Sonderfälle abzudecken).

Ein Listenverteiler hat sich selbstverständtlich selbst als Absender 
einzutragen. Tut dieser hier ja bspw. auch:
>   Received: from listi.jpberlin.de (listi.jpberlin.de [91.198.250.5])
>   smtp.mailfrom=postfixbuch-users-bounces at listen.jpberlin.de
>   domain of postfixbuch-users-bounces at listen.jpberlin.de designates
>   91.198.250.5 as permitted sender

Weiter unten im Text ist dann halt die komplette Weiterleitungskette, wie 
viele Hops da jetzt durchgegangen sind, wer ursprünglich gesendet hat und wo 
es überall validiert und neu signiert (etwa DKIM/ARC) wurde.

> Absender aus anderen technischen Gründen 

Welche sollten das sein? Mir fehlt gerade um Ehrlich zu sein etwas Phantasie 
mir andere valide Sendewege (im Unternehmensumfeld) vorzustellen, aber ich bin 
ehrlich offen für Input!

> oder durch Webformulare

Warum sollten ranzig gammelig programmierte anonym von Bots bedienbare 
Webformulare *Dritter* in meinem Namen versenden dürfen?

Ein Webformular darf bitte gerne in seinem eigenen Namen versenden, und als 
Reply-To: dann evtl. auch "mich" eintragen, wenn es seriös ist. Alle Anderen 
dürfen gerne wegbleiben.

> von anderen Mailservern kommen.

Auch hier: Wieso sollten sie? Klar, Relay-Hops, aber wenn die gewollt sind, 
lässt sich das schon so über eine anständige Relay-Config gestalten (kost max 
1 Hop extra), das SPF nicht FAILed, siehe bspw. was diese Mailingliste tut.



Das Ganze mag evlt. auf Freemail-Privatendanwender-DAUs zutreffen, mit denen 
man möglichst nur Minimalkontakt haben mag, sind aber meiner Meinung nach 
Punkte, die man ja im Unternehmensumfeld ja eben genau nicht haben möchte.




my two cents

Tom