tobi-2001
Goto Top

SPF, DKIM, DMARC?

Wo ich schon dabei bin, direkt eine Frage an die Community.

Wer nutzt "SPF, DKIM, DMARC"?

Wir nutzen im Moment SPF und DKIM, ist ja der Minimalstandard, wobei ich einige Kunden kenne die noch nichtmal SPF aktiv haben und wundern sich wieso die Mails nicht ankommen oder im Spam landen.

Nun habe ich überlegt ob wir nicht auch DMARC aktivieren sollten, hier habe ich von einigen mitbekommen das damit teils auch zu Problemen kommen kann, ist das so? Wie ist eure Erfahrung?

Content-Key: 1124407711

Url: https://administrator.de/contentid/1124407711

Printed on: February 23, 2024 at 20:02 o'clock

Member: tagol01
tagol01 Oct 30, 2023 at 12:35:50 (UTC)
Goto Top
Zitat von @Tobi-2001:

Nun habe ich überlegt ob wir nicht auch DMARC aktivieren sollten, hier habe ich von einigen mitbekommen das damit teils auch zu Problemen kommen kann, ist das so? Wie ist eure Erfahrung?

Wenn es der Kunde zulässt wird DMARC aktiviert und wenn alles sauber eingestellt ist, gibt es keine Problem!

DMARC geht halt nicht immer! ( z.b.: unterschiedliche SMTP Server... )
Member: aqui
aqui Oct 30, 2023 updated at 13:32:42 (UTC)
Goto Top
ist das so?
Nöö, läuft hier seit Jahren unauffällig und ist im Gegensatz zu DKIM ja kinderleicht ohne großen Aufwand einfach mit einem simplen zusätzlichen TXT Eintrag im DNS zu setzen.

Lesenswert dazu die aktuelle Serie bei Heise c't:
https://www.heise.de/select/ct/2023/24/2325412023268630029
https://www.heise.de/select/ct/2023/24/2326112153180035807
https://www.heise.de/select/ct/2023/24/2326112181092498742
Mitglied: 8585324113
8585324113 Oct 30, 2023 at 13:06:28 (UTC)
Goto Top
Zitat von @tagol01:

Zitat von @Tobi-2001:

Nun habe ich überlegt ob wir nicht auch DMARC aktivieren sollten, hier habe ich von einigen mitbekommen das damit teils auch zu Problemen kommen kann, ist das so? Wie ist eure Erfahrung?

Wenn es der Kunde zulässt wird DMARC aktiviert und wenn alles sauber eingestellt ist, gibt es keine Problem!

DMARC geht halt nicht immer! ( z.b.: unterschiedliche SMTP Server... )

DMARC geht auch mit einer beliebigen Anzahl an SMTP-Servern.
Member: Tobi-2001
Tobi-2001 Oct 30, 2023 updated at 13:23:08 (UTC)
Goto Top
Was heißt hier:

@tagl01
"Wenn es der Kunde zulässt wird DMARC aktiviert und wenn alles sauber eingestellt ist, gibt es keine Problem!"

Bin davon ausgegangen es ist Kinderleicht per TXT Eintrag aktiviert und dann läuft alles nur das ich mit meinem halloBeispiel.de Domain besser vor Spoofing bzw. Phishing geschützt bin?
Member: tagol01
tagol01 Oct 30, 2023 at 13:22:52 (UTC)
Goto Top

DMARC geht auch mit einer beliebigen Anzahl an SMTP-Servern.

Logisch stimmt, habe DKIM gelesen face-smile
Member: Tobi-2001
Tobi-2001 Oct 30, 2023 at 13:35:11 (UTC)
Goto Top
Wenn wir nun bei uns DMARC aktivieren, was heißt das für die Kunden die mit uns ständig kommunizieren müssen die auch DMARC aktiv haben, oder sonst eine Einstellungen vornehmen?
Mitglied: 8585324113
8585324113 Oct 30, 2023 at 13:43:45 (UTC)
Goto Top
Zitat von @Tobi-2001:

Wenn wir nun bei uns DMARC aktivieren, was heißt das für die Kunden die mit uns ständig kommunizieren müssen die auch DMARC aktiv haben, oder sonst eine Einstellungen vornehmen?

Nichts. Du wirst eine Ehe mit dem Packprogram eingehen, wenn du keine Analyse-Tool hast.

Aber! Vorher noch mal alles lesen, Du scheinst nicht alles sattelfest verinnerlicht zu haben.
Mitglied: 8585324113
8585324113 Oct 30, 2023 at 13:44:19 (UTC)
Goto Top
Zitat von @tagol01:


DMARC geht auch mit einer beliebigen Anzahl an SMTP-Servern.

Logisch stimmt, habe DKIM gelesen face-smile

Auch da ist die Anzahl der SMTP-Server variabel.
Member: Tobi-2001
Tobi-2001 Oct 30, 2023 updated at 13:58:22 (UTC)
Goto Top
@8585324113

habe ich auch nicht, zumindest nicht was DMARC anbetrifft, aber dafür habe ich ja die Community die mir Ratschläge geben kann face-smile
Mitglied: 8585324113
8585324113 Oct 30, 2023 at 14:03:30 (UTC)
Goto Top
Dann mache einen gesamten Abwasch draus...
DNSSEC, SPF, DKIM, DMARC, TLS-RPT, MTA-STS, DANE...
Da kann man sich richtig austoben.
Member: Tobi-2001
Tobi-2001 Oct 30, 2023 at 14:05:08 (UTC)
Goto Top
@8585324113

Ehe mit Packprogram eingehen möchte ich eigentlich ungern...
Wie umfangreich, oder Zeitaufwendig ist das auf dauer?
Mitglied: 8585324113
8585324113 Oct 30, 2023 at 14:08:37 (UTC)
Goto Top
Zitat von @Tobi-2001:

@8585324113

Ehe mit Packprogram eingehen möchte ich eigentlich ungern...
Wie umfangreich, oder Zeitaufwendig ist das auf dauer?

Du bekommst eben diese Reports. Die könnte man auch angucken und Schlüsse draus ziehen.
Member: tagol01
tagol01 Oct 30, 2023 at 14:10:41 (UTC)
Goto Top
Zitat von @8585324113:

Auch da ist die Anzahl der SMTP-Server variabel.

stimmt, aber wenn man nicht alle betreut ist es schwer und bei Großunternehmen nicht möglich!
Mitglied: 8585324113
8585324113 Oct 30, 2023 at 14:24:31 (UTC)
Goto Top
Zitat von @tagol01:

Zitat von @8585324113:

Auch da ist die Anzahl der SMTP-Server variabel.

stimmt, aber wenn man nicht alle betreut ist es schwer und bei Großunternehmen nicht möglich!

Gerade größere Unternehmen werden das betreuen und nicht dem Zufall überlassen.
Member: Tobi-2001
Tobi-2001 Oct 30, 2023 at 14:36:22 (UTC)
Goto Top
Gibt es von diesen Möglichkeiten eine Priorät die du definieren könntest?

DNSSEC, SPF, DKIM, DMARC, TLS-RPT, MTA-STS, DANE...
Mitglied: 8585324113
8585324113 Oct 30, 2023 at 14:41:04 (UTC)
Goto Top
Wie im DNs oder was ich zu erst machen würde?
Member: tagol01
tagol01 Oct 30, 2023 at 14:56:55 (UTC)
Goto Top
Zitat von @8585324113:

Gerade größere Unternehmen werden das betreuen und nicht dem Zufall überlassen.

stimmt nicht! Leider darf ich den Namen vom Dax Unternehmen hier nicht nennen face-sad
Mitglied: 8585324113
8585324113 Oct 30, 2023 at 14:58:49 (UTC)
Goto Top
Zitat von @tagol01:

Zitat von @8585324113:

Gerade größere Unternehmen werden das betreuen und nicht dem Zufall überlassen.

stimmt nicht! Leider darf ich den Namen vom Dax Unternehmen hier nicht nennen face-sad

Ja, genau. Mama hat Spätschicht und du hast unbeaufsichtigtes Internet?
Member: tagol01
tagol01 Oct 30, 2023 at 15:29:14 (UTC)
Goto Top
Zitat von @8585324113:

Ja, genau. Mama hat Spätschicht und du hast unbeaufsichtigtes Internet?

Du hast von Mama eine persönliche Nachricht erhalten. face-smile
Member: Tobi-2001
Tobi-2001 Oct 30, 2023 at 16:49:24 (UTC)
Goto Top
@tagl01
und was hat Mama geantwortet?
Member: Dani
Dani Oct 30, 2023 at 17:11:02 (UTC)
Goto Top
Moin,
Wer nutzt "SPF, DKIM, DMARC"?
selbstverständlich.

Nun habe ich überlegt ob wir nicht auch DMARC aktivieren sollten, hier habe ich von einigen mitbekommen das damit teils auch zu Problemen kommen kann, ist das so? Wie ist eure Erfahrung?
In wie fern treten Probleme auf?

Gibt es von diesen Möglichkeiten eine Priorät die du definieren könntest?
Also den Anfang solltest du mit DNSSEC machen. Ohne das Feature macht der Rest eigentlich keinen Sinn. Danach solltest du erstmal lesen und verstehen, welche Techniken/Einträge für welchen Zweck sinnvoll sind. Da kann man sich nämlich ganz schnell viel Arbeit beschaffen. face-wink

stimmt nicht! Leider darf ich den Namen vom Dax Unternehmen hier nicht nennen ace-sad"
Ausnahmen bestätigen die Regel. face-wink


Gruß,
Dani
Member: Tobi-2001
Tobi-2001 Oct 30, 2023 at 18:46:37 (UTC)
Goto Top
Abend Dani,

"Ohne das Feature macht der Rest eigentlich keinen Sinn."... das ist mir neu...
Die wenigstens Kunden haben SPF und DKIM, teilweilse merken manche erst jetzt das man vielleicht hier noch was machen muss, aber "DNSSEC", kenne noch keinen der das eingerichtet hat.
Member: Dani
Dani Oct 30, 2023 at 18:56:04 (UTC)
Goto Top
Moin,
da hast du natürlich nicht ganz unrecht. War etwas provokant geschrieben. face-wink

SPF, DKIM, DMARC, TLS-RPT, MTA-STS, DANE...
Welche der genannten Techniken würdest du ohne bzw. nur mit DNSSEC betreiben wollen?


Gruß,
Dani
Member: Tobi-2001
Tobi-2001 Oct 30, 2023 at 18:59:35 (UTC)
Goto Top
sagen wir es mal so, wir haben "SPF und DKIM", demnächst noch DMARC, eigentlich wollte ich dann erstmal abwarten, denke mit DMARC habe ich dann eh erstmal genug zutun mit Auswertung.
Member: beidermachtvongreyscull
beidermachtvongreyscull Oct 30, 2023 at 20:13:27 (UTC)
Goto Top
Hab alle drei im Einsatz.
Ist auch bei unseren Absendern Pflicht, wenn sie nicht zuerst abgelehnt werden wollen.
Member: Gentooist
Gentooist Nov 03, 2023 updated at 09:52:23 (UTC)
Goto Top
Zitat von @Tobi-2001:

Abend Dani,

"Ohne das Feature macht der Rest eigentlich keinen Sinn."... das ist mir neu...
Die wenigstens Kunden haben SPF und DKIM, teilweilse merken manche erst jetzt das man vielleicht hier noch was machen muss, aber "DNSSEC", kenne noch keinen der das eingerichtet hat.

Glaub mir, das merken diese Kunden inzwischen sehr, sehr schnell, wenn sie an irgendjemand mit einer Gmail-Adresse kommunizieren wollen.

Gmail nämlich lehnt kategorisch jede Mails von Domänen ohne SPF oder DKIM rigoros ab, und teilt das entsprechend mit. Das Geschrei ist dann jedesmal groß, weil wie kann Gmail ja nur usw.
Member: Dani
Dani Nov 04, 2023 at 10:41:07 (UTC)
Goto Top
Moin,
sagen wir es mal so, wir haben "SPF und DKIM", demnächst noch DMARC, eigentlich wollte ich dann erstmal abwarten, denke mit DMARC habe ich dann eh erstmal genug zutun mit Auswertung.
DMARC würde ich nur einführen, wenn du entsprechende Tools hast die diese Mails automatisch auswerten, aufbereiten. So dass du entsprechende Handlungsfelder definieren kannst. Manuell wirst du da niemals Herr der der Lage und das Lesen, verstehen kostet viel Zeit.


Gruß,
Dani
Member: Tobi-2001
Tobi-2001 Nov 05, 2023 at 10:19:50 (UTC)
Goto Top
@Dani

genau das habe ich mir auch gedacht!

Welches Tool verwendet Ihr?

Was hältst Du davon Postmark, teils ja auch kostenlos. Denke für den Anfang könnte das was sein?

https://dmarc.postmarkapp.com/
Member: Dani
Dani Nov 05, 2023 at 16:42:51 (UTC)
Goto Top
Moin,
Was hältst Du davon Postmark, teils ja auch kostenlos. Denke für den Anfang könnte das was sein?
wie immer bezahlst du mit deinen Daten... Oder aus welchen Grund sollte ein ausländisches Unternehmen das sonst tun?!

Welches Tool verwendet Ihr?
Eigenentwicklung, welche auch bei uns gehostet wird. Es gibt natürlich auch fertiges Tools, wie https://domainaware.github.io/parsedmarc/.


Gruß,
Dani
Member: 0J4N90
0J4N90 Jan 02, 2024 at 20:16:06 (UTC)
Goto Top
Zitat von @Tobi-2001:

Wer nutzt "SPF, DKIM, DMARC"?

Wir und das schon seit vielen Jahren, wo soll hier ein Problem bestehen? O.K. es kann natürlich passieren, dass Empfänger nicht aktualisierte Uralt -Exchange-Server im Betrieb haben. Da kann es schon mal passieren, dass diese mit aktuellen Signaturen so ihr Problem haben.

Nun habe ich überlegt ob wir nicht auch DMARC aktivieren sollten, hier habe ich von einigen mitbekommen das damit teils auch zu Problemen kommen kann, ist das so? Wie ist eure Erfahrung?

Sauber umgesetzt, ist man hier sicherlich auf einem guten Weg. Aber wie eingangs schon erwähnt, bei der Kommunikation sind i.d.R. immer zwei Partner beteiligt. Du kannst Dich noch so gut anstrengen und alles richtig machen, wenn Dein Gegenüber nicht kann oder will, wird das nichts.