tobi-2001
30.10.2023
view4025
view30
0
Goto Top

SPF, DKIM, DMARC?

AllgemeinE-Mail
Wo ich schon dabei bin, direkt eine Frage an die Community.

Wer nutzt "SPF, DKIM, DMARC"?

Wir nutzen im Moment SPF und DKIM, ist ja der Minimalstandard, wobei ich einige Kunden kenne die noch nichtmal SPF aktiv haben und wundern sich wieso die Mails nicht ankommen oder im Spam landen.

Nun habe ich überlegt ob wir nicht auch DMARC aktivieren sollten, hier habe ich von einigen mitbekommen das damit teils auch zu Problemen kommen kann, ist das so? Wie ist eure Erfahrung?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1124407711

Url: https://administrator.de/contentid/1124407711

Ausgedruckt am: 23.11.2024 um 12:11 Uhr

30 Kommentare
Neuester Kommentar
Goto Top
tagol01
tagol01 30.10.2023 um 13:35:50 Uhr
Goto Top
Zitat von @Tobi-2001:

Nun habe ich überlegt ob wir nicht auch DMARC aktivieren sollten, hier habe ich von einigen mitbekommen das damit teils auch zu Problemen kommen kann, ist das so? Wie ist eure Erfahrung?

Wenn es der Kunde zulässt wird DMARC aktiviert und wenn alles sauber eingestellt ist, gibt es keine Problem!

DMARC geht halt nicht immer! ( z.b.: unterschiedliche SMTP Server... )
aqui
aqui 30.10.2023 aktualisiert um 14:32:42 Uhr
Goto Top
ist das so?
Nöö, läuft hier seit Jahren unauffällig und ist im Gegensatz zu DKIM ja kinderleicht ohne großen Aufwand einfach mit einem simplen zusätzlichen TXT Eintrag im DNS zu setzen.

Lesenswert dazu die aktuelle Serie bei Heise c't:
https://www.heise.de/select/ct/2023/24/2325412023268630029
https://www.heise.de/select/ct/2023/24/2326112153180035807
https://www.heise.de/select/ct/2023/24/2326112181092498742
heart1
8585324113
8585324113 30.10.2023 um 14:06:28 Uhr
Goto Top
Zitat von @tagol01:

Zitat von @Tobi-2001:

Nun habe ich überlegt ob wir nicht auch DMARC aktivieren sollten, hier habe ich von einigen mitbekommen das damit teils auch zu Problemen kommen kann, ist das so? Wie ist eure Erfahrung?

Wenn es der Kunde zulässt wird DMARC aktiviert und wenn alles sauber eingestellt ist, gibt es keine Problem!

DMARC geht halt nicht immer! ( z.b.: unterschiedliche SMTP Server... )

DMARC geht auch mit einer beliebigen Anzahl an SMTP-Servern.
Tobi-2001
Tobi-2001 30.10.2023 aktualisiert um 14:23:08 Uhr
Goto Top
Was heißt hier:

@tagl01
"Wenn es der Kunde zulässt wird DMARC aktiviert und wenn alles sauber eingestellt ist, gibt es keine Problem!"

Bin davon ausgegangen es ist Kinderleicht per TXT Eintrag aktiviert und dann läuft alles nur das ich mit meinem halloBeispiel.de Domain besser vor Spoofing bzw. Phishing geschützt bin?
tagol01
tagol01 30.10.2023 um 14:22:52 Uhr
Goto Top

DMARC geht auch mit einer beliebigen Anzahl an SMTP-Servern.

Logisch stimmt, habe DKIM gelesen face-smile
Tobi-2001
Tobi-2001 30.10.2023 um 14:35:11 Uhr
Goto Top
Wenn wir nun bei uns DMARC aktivieren, was heißt das für die Kunden die mit uns ständig kommunizieren müssen die auch DMARC aktiv haben, oder sonst eine Einstellungen vornehmen?
8585324113
8585324113 30.10.2023 um 14:43:45 Uhr
Goto Top
Zitat von @Tobi-2001:

Wenn wir nun bei uns DMARC aktivieren, was heißt das für die Kunden die mit uns ständig kommunizieren müssen die auch DMARC aktiv haben, oder sonst eine Einstellungen vornehmen?

Nichts. Du wirst eine Ehe mit dem Packprogram eingehen, wenn du keine Analyse-Tool hast.

Aber! Vorher noch mal alles lesen, Du scheinst nicht alles sattelfest verinnerlicht zu haben.
8585324113
8585324113 30.10.2023 um 14:44:19 Uhr
Goto Top
Zitat von @tagol01:


DMARC geht auch mit einer beliebigen Anzahl an SMTP-Servern.

Logisch stimmt, habe DKIM gelesen face-smile

Auch da ist die Anzahl der SMTP-Server variabel.
Tobi-2001
Tobi-2001 30.10.2023 aktualisiert um 14:58:22 Uhr
Goto Top
@8585324113

habe ich auch nicht, zumindest nicht was DMARC anbetrifft, aber dafür habe ich ja die Community die mir Ratschläge geben kann face-smile
8585324113
8585324113 30.10.2023 um 15:03:30 Uhr
Goto Top
Dann mache einen gesamten Abwasch draus...
DNSSEC, SPF, DKIM, DMARC, TLS-RPT, MTA-STS, DANE...
Da kann man sich richtig austoben.
Tobi-2001
Tobi-2001 30.10.2023 um 15:05:08 Uhr
Goto Top
@8585324113

Ehe mit Packprogram eingehen möchte ich eigentlich ungern...
Wie umfangreich, oder Zeitaufwendig ist das auf dauer?
8585324113
8585324113 30.10.2023 um 15:08:37 Uhr
Goto Top
Zitat von @Tobi-2001:

@8585324113

Ehe mit Packprogram eingehen möchte ich eigentlich ungern...
Wie umfangreich, oder Zeitaufwendig ist das auf dauer?

Du bekommst eben diese Reports. Die könnte man auch angucken und Schlüsse draus ziehen.
tagol01
tagol01 30.10.2023 um 15:10:41 Uhr
Goto Top
Zitat von @8585324113:

Auch da ist die Anzahl der SMTP-Server variabel.

stimmt, aber wenn man nicht alle betreut ist es schwer und bei Großunternehmen nicht möglich!
8585324113
8585324113 30.10.2023 um 15:24:31 Uhr
Goto Top
Zitat von @tagol01:

Zitat von @8585324113:

Auch da ist die Anzahl der SMTP-Server variabel.

stimmt, aber wenn man nicht alle betreut ist es schwer und bei Großunternehmen nicht möglich!

Gerade größere Unternehmen werden das betreuen und nicht dem Zufall überlassen.
Tobi-2001
Tobi-2001 30.10.2023 um 15:36:22 Uhr
Goto Top
Gibt es von diesen Möglichkeiten eine Priorät die du definieren könntest?

DNSSEC, SPF, DKIM, DMARC, TLS-RPT, MTA-STS, DANE...
8585324113
8585324113 30.10.2023 um 15:41:04 Uhr
Goto Top
Wie im DNs oder was ich zu erst machen würde?
tagol01
tagol01 30.10.2023 um 15:56:55 Uhr
Goto Top
Zitat von @8585324113:

Gerade größere Unternehmen werden das betreuen und nicht dem Zufall überlassen.

stimmt nicht! Leider darf ich den Namen vom Dax Unternehmen hier nicht nennen face-sad
8585324113
8585324113 30.10.2023 um 15:58:49 Uhr
Goto Top
Zitat von @tagol01:

Zitat von @8585324113:

Gerade größere Unternehmen werden das betreuen und nicht dem Zufall überlassen.

stimmt nicht! Leider darf ich den Namen vom Dax Unternehmen hier nicht nennen face-sad

Ja, genau. Mama hat Spätschicht und du hast unbeaufsichtigtes Internet?
tagol01
tagol01 30.10.2023 um 16:29:14 Uhr
Goto Top
Zitat von @8585324113:

Ja, genau. Mama hat Spätschicht und du hast unbeaufsichtigtes Internet?

Du hast von Mama eine persönliche Nachricht erhalten. face-smile
Tobi-2001
Tobi-2001 30.10.2023 um 17:49:24 Uhr
Goto Top
@tagl01
und was hat Mama geantwortet?
Dani
Dani 30.10.2023 um 18:11:02 Uhr
Goto Top
Moin,
Wer nutzt "SPF, DKIM, DMARC"?
selbstverständlich.

Nun habe ich überlegt ob wir nicht auch DMARC aktivieren sollten, hier habe ich von einigen mitbekommen das damit teils auch zu Problemen kommen kann, ist das so? Wie ist eure Erfahrung?
In wie fern treten Probleme auf?

Gibt es von diesen Möglichkeiten eine Priorät die du definieren könntest?
Also den Anfang solltest du mit DNSSEC machen. Ohne das Feature macht der Rest eigentlich keinen Sinn. Danach solltest du erstmal lesen und verstehen, welche Techniken/Einträge für welchen Zweck sinnvoll sind. Da kann man sich nämlich ganz schnell viel Arbeit beschaffen. face-wink

stimmt nicht! Leider darf ich den Namen vom Dax Unternehmen hier nicht nennen ace-sad"
Ausnahmen bestätigen die Regel. face-wink


Gruß,
Dani
Tobi-2001
Tobi-2001 30.10.2023 um 19:46:37 Uhr
Goto Top
Abend Dani,

"Ohne das Feature macht der Rest eigentlich keinen Sinn."... das ist mir neu...
Die wenigstens Kunden haben SPF und DKIM, teilweilse merken manche erst jetzt das man vielleicht hier noch was machen muss, aber "DNSSEC", kenne noch keinen der das eingerichtet hat.
Dani
Dani 30.10.2023 um 19:56:04 Uhr
Goto Top
Moin,
da hast du natürlich nicht ganz unrecht. War etwas provokant geschrieben. face-wink

SPF, DKIM, DMARC, TLS-RPT, MTA-STS, DANE...
Welche der genannten Techniken würdest du ohne bzw. nur mit DNSSEC betreiben wollen?


Gruß,
Dani
Tobi-2001
Tobi-2001 30.10.2023 um 19:59:35 Uhr
Goto Top
sagen wir es mal so, wir haben "SPF und DKIM", demnächst noch DMARC, eigentlich wollte ich dann erstmal abwarten, denke mit DMARC habe ich dann eh erstmal genug zutun mit Auswertung.
beidermachtvongreyscull
beidermachtvongreyscull 30.10.2023 um 21:13:27 Uhr
Goto Top
Hab alle drei im Einsatz.
Ist auch bei unseren Absendern Pflicht, wenn sie nicht zuerst abgelehnt werden wollen.
Gentooist
Gentooist 03.11.2023 aktualisiert um 10:52:23 Uhr
Goto Top
Zitat von @Tobi-2001:

Abend Dani,

"Ohne das Feature macht der Rest eigentlich keinen Sinn."... das ist mir neu...
Die wenigstens Kunden haben SPF und DKIM, teilweilse merken manche erst jetzt das man vielleicht hier noch was machen muss, aber "DNSSEC", kenne noch keinen der das eingerichtet hat.

Glaub mir, das merken diese Kunden inzwischen sehr, sehr schnell, wenn sie an irgendjemand mit einer Gmail-Adresse kommunizieren wollen.

Gmail nämlich lehnt kategorisch jede Mails von Domänen ohne SPF oder DKIM rigoros ab, und teilt das entsprechend mit. Das Geschrei ist dann jedesmal groß, weil wie kann Gmail ja nur usw.
Dani
Dani 04.11.2023 um 11:41:07 Uhr
Goto Top
Moin,
sagen wir es mal so, wir haben "SPF und DKIM", demnächst noch DMARC, eigentlich wollte ich dann erstmal abwarten, denke mit DMARC habe ich dann eh erstmal genug zutun mit Auswertung.
DMARC würde ich nur einführen, wenn du entsprechende Tools hast die diese Mails automatisch auswerten, aufbereiten. So dass du entsprechende Handlungsfelder definieren kannst. Manuell wirst du da niemals Herr der der Lage und das Lesen, verstehen kostet viel Zeit.


Gruß,
Dani
heart1
Tobi-2001
Tobi-2001 05.11.2023 um 11:19:50 Uhr
Goto Top
@Dani

genau das habe ich mir auch gedacht!

Welches Tool verwendet Ihr?

Was hältst Du davon Postmark, teils ja auch kostenlos. Denke für den Anfang könnte das was sein?

https://dmarc.postmarkapp.com/
Dani
Dani 05.11.2023 um 17:42:51 Uhr
Goto Top
Moin,
Was hältst Du davon Postmark, teils ja auch kostenlos. Denke für den Anfang könnte das was sein?
wie immer bezahlst du mit deinen Daten... Oder aus welchen Grund sollte ein ausländisches Unternehmen das sonst tun?!

Welches Tool verwendet Ihr?
Eigenentwicklung, welche auch bei uns gehostet wird. Es gibt natürlich auch fertiges Tools, wie https://domainaware.github.io/parsedmarc/.


Gruß,
Dani
heart1
10505791074
10505791074 02.01.2024 um 21:16:06 Uhr
Goto Top
Zitat von @Tobi-2001:

Wer nutzt "SPF, DKIM, DMARC"?

Wir und das schon seit vielen Jahren, wo soll hier ein Problem bestehen? O.K. es kann natürlich passieren, dass Empfänger nicht aktualisierte Uralt -Exchange-Server im Betrieb haben. Da kann es schon mal passieren, dass diese mit aktuellen Signaturen so ihr Problem haben.

Nun habe ich überlegt ob wir nicht auch DMARC aktivieren sollten, hier habe ich von einigen mitbekommen das damit teils auch zu Problemen kommen kann, ist das so? Wie ist eure Erfahrung?

Sauber umgesetzt, ist man hier sicherlich auf einem guten Weg. Aber wie eingangs schon erwähnt, bei der Kommunikation sind i.d.R. immer zwei Partner beteiligt. Du kannst Dich noch so gut anstrengen und alles richtig machen, wenn Dein Gegenüber nicht kann oder will, wird das nichts.
heart1
AllgemeinE-Mail
Mehr von Tobi-2001Tobi-2001Windows 11 - DruckerproblemTobi-2001 - 1 KommentarTobi-2001Windows 11 23H2 ISOTobi-2001 - 5 KommentareTobi-2001LDAP-Signierung - ZertifikatTobi-2001 - 3 KommentareTobi-2001LDAP signieren - FehlerTobi-2001 - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare