<!DOCTYPE html>

<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <p>Hallo Martin,</p>

    <p>noch ein kleiner Kommentar zur Ehrenrettung von SPF, DKIM und

      DMARC: Du machst das ja nicht, um Google einen Gefallen zu tun,

      oder "nach deren Pfeife zu tanzen", sondern um dich selbst zu

      authentifizieren und deine Domain zu schützen. Leider setzen sich

      sinnvolle Standards manchmal erst in der Breite durch, wenn es die

      Großen "erzwingen".</p>

    <p>Ohne SPF und DKIM kann eine Mail mit einer Absenderadresse deiner

      Domain von jedem beliebigen Menschen auf der Welt verfasst worden

      sein und du unterscheidest dich nicht von Abuse - das sollte

      eigentlich nicht in deinem Interesse sein.</p>

    <ul>

      <li>Durch SPF schränkst du den erlaubten Versender-IP Bereich ein.</li>

      <li>Mit DKIM signierst du deine Mail - und durch das Hinterlegen

        der öffentlichen Signatur in deinem DNS stellst du sicher, dass

        nieman domainfremdes gültig mit der Domain signieren kann.</li>

      <li>In Summe baust du mit SPF+DKIM somit eine Authentifizierung.</li>

    </ul>

    <p>DMARC fügt dann noch eine policy und reporting hinzu. Sprich: du

      kannst explizit einen Wunsch äußern, wie die Empfängerdomains mit

      nicht-authentifiziertem traffic deiner Domain umgehen soll. Und zu

      bekommst ein kostenloses reporting geliefert, wie viele

      authentifizierte und nicht-authentifizierte Mails deiner Domain

      bei den Empfängern tatsächlich angekommen sind.</p>

    <p>Was genau ist daran schlecht?</p>

    <p>Und welches Interesse sollte man darum haben, seine Mailserver

      nicht abzusichern, zumal der Aufwand wirklich überschaubar ist?</p>

    <p>Viele Grüße,<br>

    </p>

    <pre class="moz-signature" cols="72">Florian 

</pre>

    <div class="moz-cite-prefix">Am 31.05.2024 um 10:16 schrieb Martin

      Steigerwald:<br>

    </div>

    <blockquote type="cite" cite="mid:2469796.jE0xQCEvom@lichtvoll.de">

      <pre class="moz-quote-pre" wrap="">Hi!

Achtung: Rant.

Ich hatte mir ja von mir aus gedacht, dass ich mir mich irgendwann 

eingehend in SPF, DKIM und da war noch etwas Drittes aus diesem Bereich 

einarbeite, um dann informiert zu entscheiden, inwiefern ich etwas davon 

umsetze.

Ich hatte mal ein restriktiveres SPF als: "v=spf1 a mx ~all"

Aber damit ging dann gleich irgendetwas nicht, woran ich mich gerade nicht 

mehr erinnere. Bei DKIM las ich, dass damit manche Mailinglisten nicht 

gehen. Das kann ich ebenfalls nicht gebrauchen.

Und nach

said: 550-5.7.26 Your email has been blocked because the sender is

    unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate   

with either SPF or DKIM. 

habe ich gerade überhaupt keine Motivation mehr, mir das Thema auch nur 

noch mal anzuschauen. Zumal das eine Antwort auf eine von einem 

Googlemail-Benutzer *direkt* an mich verschickte Mail betraf. Da frage ich 

mich dann doch: Geht es noch? Das kann Googlemail doch wissen, dass ich 

direkt auf eine Mail antworte, die mir einer Ihrer Kunden – genauer 

genommen eines ihrer Produkte, so hart das auch klingt – geschrieben hat. 

Sie schaden ja dem „Kunden“, denn er wollte ja etwas von mir, nicht 

umgekehrt.

Ich bekam von diesem Provider über die Jahre allen möglichen Spam-Müll. 

Die interessieren sich Null-Komma-gar-nichts-für Abuse Complaints bzw. 

haben gar keinen vernünftigen Kanal mehr solche einzureichen. Und die 

meinen mir diktieren zu dürfen (!), wie ich meinen Mail-Server zu 

administrieren habe? Aka in "Wir senden Dir Müll und das ist uns egal aber 

wir akzeptieren Deine legitime Mail nicht!". Geht es noch etwas 

arroganter?

Das ist eine Bankrott-Erklärung, wenn die meinen, Spam nicht mehr anders 

eindämmen zu können. Bekomme ich ja selbst als Hobby-Mail-Admin ganz gut 

hin. Klar, deren Setup ist ein paar Dimensionen größer. Aber die können 

auch mehr und besser ausgebildete Leute darauf ansetzen und falls das mit 

"Wir verkaufen Deine Daten oder Analysen daraus" wirtschaftlich nicht mehr 

hinhaut über deren Geschäftsmodell nachdenken. Wäre ohnehin mal eine gute 

Idee.

Vielleicht bin ich dann auch mal arrogant und sage einfach: GMail-Anwender 

bekommen keine direkten Antworten von mir. Mache ich ohnehin nicht gerne. 

Nennt es eine Trotz-Reaktion… es ist mir egal. Irgendwo müssen auch mal 

Konsequenzen folgen anstatt immer alles mit zu machen, nur weil es die 

Großen diktieren. Es ist für mich auch kein wesentlicher Verlust. Die 

Leute, bei denen es mir wirklich wichtig ist, via Mail kommunizieren zu 

können… da mache ich ohnehin nicht über Googlemail. Weil wer weiß, was die 

alles mit den Daten anstellen.

Aber dennoch: Gibt es irgendwo eine gute Informationsquelle zu SPF, DKIM 

usw. die mir tatsächlich produktiv dabei helfen kann, eine informierte 

Entscheidung zu treffen, inwiefern da etwas für meinen Mail-Server doch 

sinnvoll ist, und zwar frei von der Arroganz von Google aka "I am too big 

to fail"? (Sind sie im Übrigen nicht.)

Was sind eure Meinungen? Was würde tatsächlich Sinn machen für jemanden, 

der *seinen privaten Mail-Server quasi als Hobby* betreibt? Der einen 

privaten Mail-Server betreibt, weil er ein besseres Gefühl dabei hat, das 

lieber alles selbst zu machen, weil er dann weiß was er hat, sowie das 

Filtern von Spam-Mail selbst beeinflussen kann?

Welche dieser Technologien bringt in der Praxis ein positives Ergebnis für 

die Sicherheit im Mail-Verkehr im Verhältnis zum Umsetzungs-Aufwand? Der 

letztere Aspekt ist mir ganz wichtig. Ich habe keine Motivation mir für 

einen marginalen Nutzen einen riesigen Zusatzaufwand einzuhandeln. Zumal 

Google der einzige Provider ist, mit dem das auftrat. Andere große 

Provider: Bislang überhaupt kein Problem. Ich hab das schon im Web-Bereich 

mod_security erlebt. Da geht Vieles mit kaputt und der Aufwand, die Regeln 

zu finden, die abzuschalten sind,  damit es wieder geht… das brauche ich 

definitiv nicht.

Eine Informationsquelle, wo wirklich gut erklärt ist, was es ist, wie es 

funktioniert und wo auch gut beschrieben ist, in einer Art HOWTO, wie sich 

das gut umsetzen lässt, insofern es Sinn macht. Ein Quelle, die über den 

Artikel von Martin Loschwitz im, glaub, Linux-Magazin, hinaus geht, wo er 

schreibt, dass einige der Technologien nur teilweise Sinn machen?

Ich wäre ja eventuell bereit, irgendetwas davon umzusetzen, insofern es 

tatsächlich Sinn macht. Aber dann gerade nicht weil Google meint, es mir 

diktieren zu können. Dieser Grund reicht für mich als Betreiber eines 

privaten Mail-Servers eben nicht aus. Aber vielleicht habt ihr ja bessere 

Gründe parat. Es geht mir ja nicht darum, vollkommen lernresistent zu 

sein. Ich bin gespannt. rspamd mosert hier ja über fehlende Domain Keys. 

Vielleicht ist es gar nicht so kompliziert das umzusetzen. Aber ich will 

dann keinen wochenlangen Aufwand haben, um den Empfang von Mailinglisten 

hin zu bekommen.

Also bitte immer beachten: Für den Betreiber eines privaten Mail-Servers. 

Ich sehe nicht, warum ich alles so machen muss, wie große Mail-Hoster, die 

es vielen Kunden recht machen müssen. Insbesondere, falls aus meiner Sicht 

das Aufwand-Nutzen-Verhältnis nicht passt. Da ist mein Anwendungsfall 

einfach ein anderer. So wie ich mir erlaube, Mail von "onmicrosoft.com" 

oder "exxhale.com" hoch zu stufen oder in Zukunft vielleicht das komplette 

Netzwerk von Sharktech¹ zu blocken und dabei zu riskieren irgendwann doch 

mal eine legitime Mail zu verpassen… ein Risiko, das ich als Betreiber 

eines privaten Mail-Servers durchaus eingehen kann.

[1] Betrugsmail von Kunden-Systemen. Meine Mail-Adresse in From:. Uni-

Mailserver in Received-Header rein gefälscht. Unis sind informiert und 

haben auch von andere Seite schon damit zu tun gehabt. *Keine* Antwort von 

deren Abuse Team.

Danke,

</pre>

    </blockquote>

  </body>

</html>