veniplex
Goto Top

SPF Behandlung in Exchange 2013

Hallo zusammen,

ich stehe gerade etwas auf dem Schlauch... Ich möchte unseren Exchange 2013 so konfigurieren, dass er E-Mails von Absendern blockt, die nicht im SPF Record einer Domain stehen.

Es gibt ja diese 4 Möglichkeiten für SPF Records:
  • -all (only the servers configured on the SPF are the ones that send messages)
  • +all (even if the server is not listed, the message may be legitimate)
  • ~all (that is a soft –all, because this message may be valid however it is discouraged by the domain)
  • ?all (neutral, there is no statement if the message is legitimate or not)

Soweit so gut. Nun möchte ich den Exchange aber so einstellen, dass er E-Mails nur dann durchlässt, wenn der Absender im SPF Record enthalten ist - unabhängig davon, ob der SPF Record auf +, ~ oder ? steht.

Leider finde ich dazu keinerlei Informationen, wie ich diese Behandlung von SPF Records ändern kann. Habt Ihr eine Idee?

Vielen Dank vorab!

Content-ID: 459116

Url: https://administrator.de/contentid/459116

Ausgedruckt am: 13.11.2024 um 09:11 Uhr

LordGurke
LordGurke 06.06.2019 um 10:10:00 Uhr
Goto Top
Ich habe keine Ahnung von Exchange, aber konzeptionell ist das schon eine dumme Idee.

Der Eigentümer der Domain (und der weiß das ja wohl am besten) teilt per SPF durch "+" explizit mit, dass es weitere nicht aufgeführte Absender geben kann — und du willst das dann trotzdem blocken...
Man sollte schon beachten, was derjenige, der den Record gesetzt hat, da rein schreibt.
Oder willst du behaupten, du weißt besser welche Mailserver für meine Domain legitim sind als ich selbst? face-wink

Wenn da nicht explizit ein "-" steht, ist SPF lediglich eine Whitelist, welche die explizit aufgeführten Adressen als vertrauenswürdig ausgibt.
Erst durch das Minus wird das eine implizite Blacklist, und da wird Exchange vermutlich bereits jetzt korrekt arbeiten.
veniplex
veniplex 06.06.2019 um 10:15:44 Uhr
Goto Top
Zitat von @LordGurke:

Ich habe keine Ahnung von Exchange, aber konzeptionell ist das schon eine dumme Idee.

Der Eigentümer der Domain (und der weiß das ja wohl am besten) teilt per SPF durch "+" explizit mit, dass es weitere nicht aufgeführte Absender geben kann — und du willst das dann trotzdem blocken...
Man sollte schon beachten, was derjenige, der den Record gesetzt hat, da rein schreibt.
Oder willst du behaupten, du weißt besser welche Mailserver für meine Domain legitim sind als ich selbst? face-wink

Wenn da nicht explizit ein "-" steht, ist SPF lediglich eine Whitelist, welche die explizit aufgeführten Adressen als vertrauenswürdig ausgibt.
Erst durch das Minus wird das eine implizite Blacklist, und da wird Exchange vermutlich bereits jetzt korrekt arbeiten.


Ja, generell richtig. Es gab allerdings eine Entscheidung von höherer Ebene das nun so umzusetzen, da wir in letzter Zeit verstärkt E-Mails bekommen die von vermeintlich vertrauenswürdigen Domains kommen. Die Domaininhaber haben Ihre SPF nicht richtig gepflegt und daher wollen wir nun pauschal alles blocken, was nicht im SPF des Absenders enthalten ist.

Die Frage ist ja auch erstmal, ob und wie das überhaupt gehen würde. Ich finde dazu leider keine Doku.
certifiedit.net
certifiedit.net 06.06.2019 um 10:34:26 Uhr
Goto Top
Hallo Veniplex,

setzt ihr eine UTM ein? Dann lass das darüber laufen, diese filtert Mails vor UND schützt den Exchange durch eine doppelte Haut.
Wenn noch nicht, komm auf Wunsch gerne auf mich zu.

Vermeintlich vertrauenswürdige Emails können auch einfach eine falsche Absenderadresse haben, da hilft SPF-Prüfung auch nur wenig bis mittelmäßig.

Viele Grüße,

Christian
certifiedit.net
Dani
Dani 06.06.2019 um 18:42:47 Uhr
Goto Top
Moin,
Vermeintlich vertrauenswürdige Emails können auch einfach eine falsche Absenderadresse haben, da hilft SPF-Prüfung auch nur wenig bis mittelmäßig.
so ist es... Stichwort ist Mail From und Envelope From. Und der Anzeigename steht nochmals auf einen anderen Blatt Papier (=Attribut). Daher wäre eigentlich die richtige Frage: In welchen der genannten Parameter wird die vermeidliche Domain aufgeführt?

Es gab allerdings eine Entscheidung von höherer Ebene das nun so umzusetzen, da wir in letzter Zeit verstärkt E-Mails bekommen die von vermeintlich vertrauenswürdigen Domains kommen.
Mal schauen wie lange... spätestens wenn E-Mails der Geschäftsführung fehlen oder potenzielle Auftraggeber nicht durchkommen, steht die Entscheidung zur Diskussion.
Unabhängig davon werden dir unter Umständen die Admins der Gegenstelle die Türe einrennen. Nichts ist schlimmer, als wenn ein Mailserver sich nicht an RFC Standards hält.

Gruß,
Dani