Kann man mit SPF Mails für eine Domäne vollständig verbieten?

Mitglied: StefanKittel

StefanKittel (Level 5) - Jetzt verbinden

06.03.2021, aktualisiert 07.03.2021, 1146 Aufrufe, 17 Kommentare

Hallo,

viele Firmen haben ja zusätzliche Domänen.
Als Web- und oder Mail-weiterleitung.

Es werden also niemals Emails damit gesendet werden.

kann man mit einem "v=spf1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Ich habe dazu gar nichts gefunden. Es ging immer nur um Domänen wo auch Mails mit gesendet werden.

Stefan

Update: Ich meine natürlich SPF und SFP(+)...
Mitglied: chgorges
06.03.2021 um 22:39 Uhr
Moin,

also SFP sind LWL-Transceiver, die haben mit Mails nichts zu tun :) face-smile

Das SPF, Sender Policy Framework, hat nur mit dem Versenden von Mails zu tun.

Als Web- und oder Mail-weiterleitung.
kann man mit einem "v=sfp1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Es ging immer nur um Domänen wo auch Mails mit gesendet werden

Die drei Zeilen widersprechen sich, Spammer nutzen ja nur die Sendefunktion und wie gesagt, bei SPF geht es nur ums Versenden.

Was benötigst, bzw. meinst du wirklich?

VG
Bitte warten ..
Mitglied: StefanKittel
06.03.2021, aktualisiert um 23:00 Uhr
Zitat von @chgorges:
Die drei Zeilen widersprechen sich, Spammer nutzen ja nur die Sendefunktion und wie gesagt, bei SPF geht es nur ums Versenden.
Ich möchte erreichen, dass Niemand mit einer bestimmten Domäne senden kann.

Die Firma hat die Hauptdomäne firma.de für Web und Mail.
Hat aber auch firma.com mit Weiterleitung für Web und Mail.
Aber Niemand der Firma wird mit firma.com Emails senden.
Also könnte ich doch mit SPF das Senden mit -all ganz verhindern oder?

Stefan
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 06.03.2021, aktualisiert um 22:52 Uhr
Zitat von @StefanKittel:

Also könnte ich doch mit SPF das Senden mit -all ganz verhindern oder?

Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.

lks
Bitte warten ..
Mitglied: StefanKittel
06.03.2021 um 23:01 Uhr
Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Klar, im Rahmen dessen was SPF leisten kann.
Aber es ist kein Aufwand, kostet nix und hilft zumindest ein bisschen.

Stefan
Bitte warten ..
Mitglied: chgorges
06.03.2021 um 23:09 Uhr
Zitat von @StefanKittel:
Hat aber auch firma.com mit Weiterleitung für Web und Mail.
Aber Niemand der Firma wird mit firma.com Emails senden.
?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.
Bitte warten ..
Mitglied: Lochkartenstanzer
06.03.2021, aktualisiert um 23:19 Uhr
Zitat von @chgorges:

?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.

I.d.R. wird bei solchen "weiterleitungen" keinerlei Mail herumgeschickt, sondern nur der gleiche MX verwendet oder nur intern umgeschrieben. Da wird nix mit Absender Firma.com verschickt.

Edit:

Das ist wie mit der Briefpost: Du hast entweder einen Briefkasten auf dem firma.com und firma.de steht und beides im gleichen Kasten (=MX) landet oder Du hast einen "Nachsendeantrag", auf dem nur der Empfänger angepaßt wird, aber der Absender gleich bleibt (verschiedene MXe). Dann muß der MTA des Empfängers entsprechend eingerichtet sein, daß er vom andern MX Mails mit "falschen Absendern" auch annimmt.

Wenn man das als Weiterleitung in "Outlook" oder Exchange so einrichtet, daß der Absender geändert wird, hat man seinen Job nicht gemacht.

lks
Bitte warten ..
Mitglied: StefanKittel
06.03.2021, aktualisiert um 23:30 Uhr
Zitat von @chgorges:
?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.
Nein, denn es handelt sich um einen Alias.

m.mustermann@firma.de (senden und empfangen)
m.mustermann@firma.com (nur empfangen in Mailbox m.mustermann@firma.de)

Wenn in Deinem GMX-Account also eine Mail von m.mustermann@firma.com ankommt, kann GMX diese anhand des SPF ablehnen.
Eine Spam/Phising-Mail weniger.

Viel bringt das Alles nicht.
Ich habe es neulich bei einem Kunden gesehen.
Da kam eine Mail von Lieferant.com an.
Korrekt bei o365 angelegt, SPF, DKIM, MX, alles richtig. Web-Weiterleitung auf die richtige Webseite lieferant.no.
Bitte warten ..
Mitglied: StefanKittel
06.03.2021 um 23:31 Uhr
Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Aber ausprobiert hast Du das auch noch nicht oder?
Bitte warten ..
Mitglied: mbehrens
06.03.2021 um 23:48 Uhr
Zitat von @StefanKittel:

viele Firmen haben ja zusätzliche Domänen.
Als Web- und oder Mail-weiterleitung.

Es werden also niemals Emails damit gesendet werden.

kann man mit einem "v=spf1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Ich habe dazu gar nichts gefunden. Es ging immer nur um Domänen wo auch Mails mit gesendet werden.

Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Bitte warten ..
Mitglied: StefanKittel
07.03.2021 um 00:08 Uhr
Zitat von @mbehrens:
Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Aber der Syntax ist doch richtig?
Also sollte jedes System was SPF auswertet solche Mails ablehnen oder nicht?
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 07.03.2021 um 00:09 Uhr
Zitat von @StefanKittel:

Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Aber ausprobiert hast Du das auch noch nicht oder?

Nee, hatte bisher keinen Anlaß dazu. Aber ich lese die Spezifikation (RFC) auch so, daß es damit alles verbieten sollte.

lks
Bitte warten ..
Mitglied: StefanKittel
07.03.2021 um 00:11 Uhr
Zitat von @Lochkartenstanzer:
Nee, hatte bisher keinen Anlaß dazu. Aber ich lese die Spezifikation (RFC) auch so, daß es damit alles verbieten sollte.
Einen richtigen Anlaß habe ich auch nicht.
Aber es stört ja auch nicht.
Und damit würde der Exchange des Kunden Emails von chef@firma.com automatisch ablehnen weil es SPF auswertet wenn verfügbar.
Stefan
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 07.03.2021 um 00:13 Uhr
Das sollte so gehen, der Erfahrung nach wird aber aufgrund der inhärenten Probleme mit SPF meist "-all" nicht so angewandt, wie man es will.

Du solltest also zusätzlich eine DMARC-Policy veröffentlichen, die explizit "reject" einfordert. Und wenn du neugierig bist, kannst du dir auch Reports senden lassen, wenn trotzdem irgendwo Mails mit dieser Absender-Domain auftauchen.

Bei den Domains, wo das konfiguriert ist, wirkt zumindest DMARC deutlich besser als SPF alleine für sich.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 07.03.2021 um 00:14 Uhr
Zitat von @mbehrens:

Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.

Eben: Wenn der Empfänger SPF auswertet, respektiert er vermutlich auch diesen Wunsch. Ansonsten ist er selbst schuld, wenn er SPAM eingetütet bekommt.

lks
Bitte warten ..
Mitglied: StefanKittel
07.03.2021 um 00:18 Uhr
Zitat von @Lochkartenstanzer:
...... Ansonsten ist er selbst schuld, wenn er SPAM eingetütet bekommt.
Man kann nicht alle retten.....

PS: Ich brauche ein 2. T-Shirt.
Neben "Kein Backup kein Mitleid" auch noch "Viel Spam kein Mitleid"....
Bitte warten ..
Mitglied: mbehrens
07.03.2021 um 00:19 Uhr
Zitat von @LordGurke:

Du solltest also zusätzlich eine DMARC-Policy veröffentlichen, die explizit "reject" einfordert. Und wenn du neugierig bist, kannst du dir auch Reports senden lassen, wenn trotzdem irgendwo Mails mit dieser Absender-Domain auftauchen.

Auch das ist ja wieder nur ein Wunsch gegenüber dem Empfänger. Was er dann tatsächlich macht (reject, spam Ordner, Quarantäne) ist seine Sache.
Bitte warten ..
Mitglied: LordGurke
07.03.2021 um 01:02 Uhr
Ja, aber im Gegensatz zu SPF, was bei Weiterleitungen regelmäßig Probleme macht, ist DMARC/DKIM viel weniger fehleranfällig.
Kaputte und fehlende DKIM-Signaturen lasse ich ablehnen, ein SPF-Fail werte ich aber eher lax, da sonst die Hälfte der umgeleiteten Mails nicht ankäme.
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore11 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Backup
Backup Datei
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo Zusammen, ich habe eine Frage ich will eine Backup bat Datei schreiben habe jedoch ein kleines Problem. Ich möchte ein Laufwerk in das ...

DNS
Android 10 und mein DNS Server
gelöst CyborgWeaselVor 1 TagFrageDNS7 Kommentare

Hallo allesamt, ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und ...