17
Kann man mit SPF Mails für eine Domäne vollständig verbieten?
Hallo,
viele Firmen haben ja zusätzliche Domänen.
Als Web- und oder Mail-weiterleitung.
Es werden also niemals Emails damit gesendet werden.
kann man mit einem "v=spf1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Ich habe dazu gar nichts gefunden. Es ging immer nur um Domänen wo auch Mails mit gesendet werden.
Stefan
Update: Ich meine natürlich SPF und SFP(+)...
viele Firmen haben ja zusätzliche Domänen.
Als Web- und oder Mail-weiterleitung.
Es werden also niemals Emails damit gesendet werden.
kann man mit einem "v=spf1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Ich habe dazu gar nichts gefunden. Es ging immer nur um Domänen wo auch Mails mit gesendet werden.
Stefan
Update: Ich meine natürlich SPF und SFP(+)...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 659887
Url: https://administrator.de/forum/kann-man-mit-spf-mails-fuer-eine-domaene-vollstaendig-verbieten-659887.html
Ausgedruckt am: 09.04.2025 um 07:04 Uhr
17 Kommentare
Neuester Kommentar
Moin,
also SFP sind LWL-Transceiver, die haben mit Mails nichts zu tun
Das SPF, Sender Policy Framework, hat nur mit dem Versenden von Mails zu tun.
Die drei Zeilen widersprechen sich, Spammer nutzen ja nur die Sendefunktion und wie gesagt, bei SPF geht es nur ums Versenden.
Was benötigst, bzw. meinst du wirklich?
VG
also SFP sind LWL-Transceiver, die haben mit Mails nichts zu tun
Das SPF, Sender Policy Framework, hat nur mit dem Versenden von Mails zu tun.
Als Web- und oder Mail-weiterleitung.
kann man mit einem "v=sfp1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Es ging immer nur um Domänen wo auch Mails mit gesendet werden
kann man mit einem "v=sfp1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Es ging immer nur um Domänen wo auch Mails mit gesendet werden
Die drei Zeilen widersprechen sich, Spammer nutzen ja nur die Sendefunktion und wie gesagt, bei SPF geht es nur ums Versenden.
Was benötigst, bzw. meinst du wirklich?
VG
Zitat von @chgorges:
Die drei Zeilen widersprechen sich, Spammer nutzen ja nur die Sendefunktion und wie gesagt, bei SPF geht es nur ums Versenden.
Ich möchte erreichen, dass Niemand mit einer bestimmten Domäne senden kann.Die drei Zeilen widersprechen sich, Spammer nutzen ja nur die Sendefunktion und wie gesagt, bei SPF geht es nur ums Versenden.
Die Firma hat die Hauptdomäne firma.de für Web und Mail.
Hat aber auch firma.com mit Weiterleitung für Web und Mail.
Aber Niemand der Firma wird mit firma.com Emails senden.
Also könnte ich doch mit SPF das Senden mit -all ganz verhindern oder?
Stefan
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
lks
Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Klar, im Rahmen dessen was SPF leisten kann.Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Aber es ist kein Aufwand, kostet nix und hilft zumindest ein bisschen.
Stefan
Zitat von @StefanKittel:
Hat aber auch firma.com mit Weiterleitung für Web und Mail.
Aber Niemand der Firma wird mit firma.com Emails senden.
?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.Hat aber auch firma.com mit Weiterleitung für Web und Mail.
Aber Niemand der Firma wird mit firma.com Emails senden.
Zitat von @chgorges:
?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.
?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.
I.d.R. wird bei solchen "weiterleitungen" keinerlei Mail herumgeschickt, sondern nur der gleiche MX verwendet oder nur intern umgeschrieben. Da wird nix mit Absender Firma.com verschickt.
Edit:
Das ist wie mit der Briefpost: Du hast entweder einen Briefkasten auf dem firma.com und firma.de steht und beides im gleichen Kasten (=MX) landet oder Du hast einen "Nachsendeantrag", auf dem nur der Empfänger angepaßt wird, aber der Absender gleich bleibt (verschiedene MXe). Dann muß der MTA des Empfängers entsprechend eingerichtet sein, daß er vom andern MX Mails mit "falschen Absendern" auch annimmt.
Wenn man das als Weiterleitung in "Outlook" oder Exchange so einrichtet, daß der Absender geändert wird, hat man seinen Job nicht gemacht.
lks
Zitat von @chgorges:
?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.
Nein, denn es handelt sich um einen Alias.?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.
m.mustermann@firma.de (senden und empfangen)
m.mustermann@firma.com (nur empfangen in Mailbox m.mustermann@firma.de)
Wenn in Deinem GMX-Account also eine Mail von m.mustermann@firma.com ankommt, kann GMX diese anhand des SPF ablehnen.
Eine Spam/Phising-Mail weniger.
Viel bringt das Alles nicht.
Ich habe es neulich bei einem Kunden gesehen.
Da kam eine Mail von Lieferant.com an.
Korrekt bei o365 angelegt, SPF, DKIM, MX, alles richtig. Web-Weiterleitung auf die richtige Webseite lieferant.no.
Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Aber ausprobiert hast Du das auch noch nicht oder?Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
viele Firmen haben ja zusätzliche Domänen.
Als Web- und oder Mail-weiterleitung.
Es werden also niemals Emails damit gesendet werden.
kann man mit einem "v=spf1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Ich habe dazu gar nichts gefunden. Es ging immer nur um Domänen wo auch Mails mit gesendet werden.
Als Web- und oder Mail-weiterleitung.
Es werden also niemals Emails damit gesendet werden.
kann man mit einem "v=spf1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Ich habe dazu gar nichts gefunden. Es ging immer nur um Domänen wo auch Mails mit gesendet werden.
Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Zitat von @mbehrens:
Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Aber der Syntax ist doch richtig?Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Also sollte jedes System was SPF auswertet solche Mails ablehnen oder nicht?
Zitat von @StefanKittel:
Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Aber ausprobiert hast Du das auch noch nicht oder?Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Nee, hatte bisher keinen Anlaß dazu. Aber ich lese die Spezifikation (RFC) auch so, daß es damit alles verbieten sollte.
lks
Zitat von @Lochkartenstanzer:
Nee, hatte bisher keinen Anlaß dazu. Aber ich lese die Spezifikation (RFC) auch so, daß es damit alles verbieten sollte.
Einen richtigen Anlaß habe ich auch nicht.Nee, hatte bisher keinen Anlaß dazu. Aber ich lese die Spezifikation (RFC) auch so, daß es damit alles verbieten sollte.
Aber es stört ja auch nicht.
Und damit würde der Exchange des Kunden Emails von chef@firma.com automatisch ablehnen weil es SPF auswertet wenn verfügbar.
Stefan
Das sollte so gehen, der Erfahrung nach wird aber aufgrund der inhärenten Probleme mit SPF meist "-all" nicht so angewandt, wie man es will.
Du solltest also zusätzlich eine DMARC-Policy veröffentlichen, die explizit "reject" einfordert. Und wenn du neugierig bist, kannst du dir auch Reports senden lassen, wenn trotzdem irgendwo Mails mit dieser Absender-Domain auftauchen.
Bei den Domains, wo das konfiguriert ist, wirkt zumindest DMARC deutlich besser als SPF alleine für sich.
Du solltest also zusätzlich eine DMARC-Policy veröffentlichen, die explizit "reject" einfordert. Und wenn du neugierig bist, kannst du dir auch Reports senden lassen, wenn trotzdem irgendwo Mails mit dieser Absender-Domain auftauchen.
Bei den Domains, wo das konfiguriert ist, wirkt zumindest DMARC deutlich besser als SPF alleine für sich.
Zitat von @mbehrens:
Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Eben: Wenn der Empfänger SPF auswertet, respektiert er vermutlich auch diesen Wunsch. Ansonsten ist er selbst schuld, wenn er SPAM eingetütet bekommt.
lks
Man kann nicht alle retten.....
PS: Ich brauche ein 2. T-Shirt.
Neben "Kein Backup kein Mitleid" auch noch "Viel Spam kein Mitleid"....
PS: Ich brauche ein 2. T-Shirt.
Neben "Kein Backup kein Mitleid" auch noch "Viel Spam kein Mitleid"....
Du solltest also zusätzlich eine DMARC-Policy veröffentlichen, die explizit "reject" einfordert. Und wenn du neugierig bist, kannst du dir auch Reports senden lassen, wenn trotzdem irgendwo Mails mit dieser Absender-Domain auftauchen.
Auch das ist ja wieder nur ein Wunsch gegenüber dem Empfänger. Was er dann tatsächlich macht (reject, spam Ordner, Quarantäne) ist seine Sache.
Ja, aber im Gegensatz zu SPF, was bei Weiterleitungen regelmäßig Probleme macht, ist DMARC/DKIM viel weniger fehleranfällig.
Kaputte und fehlende DKIM-Signaturen lasse ich ablehnen, ein SPF-Fail werte ich aber eher lax, da sonst die Hälfte der umgeleiteten Mails nicht ankäme.
Kaputte und fehlende DKIM-Signaturen lasse ich ablehnen, ein SPF-Fail werte ich aber eher lax, da sonst die Hälfte der umgeleiteten Mails nicht ankäme.
