SPF noch relevant?
Hallo,
ich bin gerade am konsolidieren unseres historisch gewachsenen E-Mail Systems.
Bei der Auflösung von den SPF Einträge ist mir aufgefallen das wir zum Teil 1000nden IPs erlauben im Namen von unseren Maildomains zu senden.
Erster Gedanke, fu.
Zweiter Gedanke, ahh cloud (MS 365 zum Beisspiel) ist blöd, aber ist halt so, Cloudwelt.
Dritter Gedanke, hmm ist SPF überhaupt noch relevant, wenn überhaupt als mini Punkt in einer Kette von Überprüfungen.
Zumindest wenn ein System nun auch noch den PTR Eintrag abfragen sollte ist Schluss mit, da stehen in der Regel bei den Cloudhostern nicht die Kundendomänen drin.
Achtet ihr noch auf was da in den SPF Einträgen steht, wenn euch mal wieder ein Cloud Dienstanbieter den include Eintrag für den kompletten Hoster durchgibt?
Ich habe da im Moment ein gemischtes Gefühl, da ja theoretisch alle Hostingkunden dann in unserem Namen senden könnten.
ich bin gerade am konsolidieren unseres historisch gewachsenen E-Mail Systems.
Bei der Auflösung von den SPF Einträge ist mir aufgefallen das wir zum Teil 1000nden IPs erlauben im Namen von unseren Maildomains zu senden.
Erster Gedanke, fu.
Zweiter Gedanke, ahh cloud (MS 365 zum Beisspiel) ist blöd, aber ist halt so, Cloudwelt.
Dritter Gedanke, hmm ist SPF überhaupt noch relevant, wenn überhaupt als mini Punkt in einer Kette von Überprüfungen.
Zumindest wenn ein System nun auch noch den PTR Eintrag abfragen sollte ist Schluss mit, da stehen in der Regel bei den Cloudhostern nicht die Kundendomänen drin.
Achtet ihr noch auf was da in den SPF Einträgen steht, wenn euch mal wieder ein Cloud Dienstanbieter den include Eintrag für den kompletten Hoster durchgibt?
Ich habe da im Moment ein gemischtes Gefühl, da ja theoretisch alle Hostingkunden dann in unserem Namen senden könnten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 24187127759
Url: https://administrator.de/forum/spf-noch-relevant-24187127759.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
6 Kommentare
Neuester Kommentar
Hi
ja ist weiter relevant.
SPF, DKIM, DMARC. Ohne die 3 hat man ein Problem
O365 zB lässt dich ja nur von den Domains aus senden die du unter deinem Tenant registriert hast
ja ist weiter relevant.
SPF, DKIM, DMARC. Ohne die 3 hat man ein Problem
Ich habe da im Moment ein gemischtes Gefühl, da ja theoretisch alle Hostingkunden dann in unserem Namen senden könnten.
Theoretisch ja, aber da sind dann ja die Anbieter in der Verantwortung das so zu regeln das man das von denen aus halt nicht kann.O365 zB lässt dich ja nur von den Domains aus senden die du unter deinem Tenant registriert hast
Moin,
aktuell sind meist SPF, DKIM und DMARC.
Vieles inzwischen mit ARC verwaltet und ausgewertet.
Ja, bei SPF-Includes holt man sich "einfach" einen Account bei der gleichen Firma und kann per SMTP den Absender fälschen. Die meisten Provider verhindern das aber recht effektiv. Allgemein hilft DKIM.
Stefan
aktuell sind meist SPF, DKIM und DMARC.
Vieles inzwischen mit ARC verwaltet und ausgewertet.
Ja, bei SPF-Includes holt man sich "einfach" einen Account bei der gleichen Firma und kann per SMTP den Absender fälschen. Die meisten Provider verhindern das aber recht effektiv. Allgemein hilft DKIM.
Stefan
natürlich wird SPF überprüft und ist auch sinnvoll....
Wenn ein Betreiber aber zu doof ist und im SPF alles mögliche freigibt ist er ja komplett selbst schuld dann wenn die reputation seiner email domain vor die hunde geht, und ja natürlich hebelt er den SPF schutz dann für seine Firma aus... aber was interessiert mich das selbst verursachte leid von anderen?
Und durch den cloud müll holt man sich das nunmal mit ins boot das die komplette MS Server Farm in de Cloud dann sende berechtigt ist... das war aber jedem von anfang an klar das es dann so ist.
Bedankt sich jeder Email admin... da ein kompletter anti Spam mechanismus dadurch eben ausgeheblt wird.
Bedeutet jede MS Cloud Email domain kann nicht mehr mit diesem mechanismus mehr geblockt werden wiel viel zu viele den schrott benutzen. gleiches gilt für leute die gmail.com als geschäfts email adressen benutzen usw...
und so zerstören die netten leute selbst die security... andere nette hersterller im bereich webfiltering:
adobe.io hat wohl ein marketing mensch witzig gefunden .io zu nehmen weil input output... dumm wenn man country blocking an hat und .io nun mal als das deklariert was es ist.... microsoft schenkt sich da auch nix und andere sind auch witzig. hammer hat CAD hersteller abgeschossen - schickt er ne white list welche URLS freigeschaltet werden müssen... nur dumm wenn man seinen cloud server bei amazon.aws nicht mit draufsetzt... (also selbst nicht mal seine URLs kennt) danke danke danke an alle entwickler die zum dumm zum sch...ssen sind
Aber sehen wirs positiv, dank dieser menschen ist unser arbeitsplatz garantiert.... und nicht durch KIs ersetzbar... die können nämlich nur mit logik automatisieren und nicht mit hirnfurzen
Wenn ein Betreiber aber zu doof ist und im SPF alles mögliche freigibt ist er ja komplett selbst schuld dann wenn die reputation seiner email domain vor die hunde geht, und ja natürlich hebelt er den SPF schutz dann für seine Firma aus... aber was interessiert mich das selbst verursachte leid von anderen?
Und durch den cloud müll holt man sich das nunmal mit ins boot das die komplette MS Server Farm in de Cloud dann sende berechtigt ist... das war aber jedem von anfang an klar das es dann so ist.
Bedankt sich jeder Email admin... da ein kompletter anti Spam mechanismus dadurch eben ausgeheblt wird.
Bedeutet jede MS Cloud Email domain kann nicht mehr mit diesem mechanismus mehr geblockt werden wiel viel zu viele den schrott benutzen. gleiches gilt für leute die gmail.com als geschäfts email adressen benutzen usw...
und so zerstören die netten leute selbst die security... andere nette hersterller im bereich webfiltering:
adobe.io hat wohl ein marketing mensch witzig gefunden .io zu nehmen weil input output... dumm wenn man country blocking an hat und .io nun mal als das deklariert was es ist.... microsoft schenkt sich da auch nix und andere sind auch witzig. hammer hat CAD hersteller abgeschossen - schickt er ne white list welche URLS freigeschaltet werden müssen... nur dumm wenn man seinen cloud server bei amazon.aws nicht mit draufsetzt... (also selbst nicht mal seine URLs kennt) danke danke danke an alle entwickler die zum dumm zum sch...ssen sind
Aber sehen wirs positiv, dank dieser menschen ist unser arbeitsplatz garantiert.... und nicht durch KIs ersetzbar... die können nämlich nur mit logik automatisieren und nicht mit hirnfurzen