6
SPF noch relevant?
Hallo,
ich bin gerade am konsolidieren unseres historisch gewachsenen E-Mail Systems.
Bei der Auflösung von den SPF Einträge ist mir aufgefallen das wir zum Teil 1000nden IPs erlauben im Namen von unseren Maildomains zu senden.
Erster Gedanke, fu.
Zweiter Gedanke, ahh cloud (MS 365 zum Beisspiel) ist blöd, aber ist halt so, Cloudwelt.
Dritter Gedanke, hmm ist SPF überhaupt noch relevant, wenn überhaupt als mini Punkt in einer Kette von Überprüfungen.
Zumindest wenn ein System nun auch noch den PTR Eintrag abfragen sollte ist Schluss mit, da stehen in der Regel bei den Cloudhostern nicht die Kundendomänen drin.
Achtet ihr noch auf was da in den SPF Einträgen steht, wenn euch mal wieder ein Cloud Dienstanbieter den include Eintrag für den kompletten Hoster durchgibt?
Ich habe da im Moment ein gemischtes Gefühl, da ja theoretisch alle Hostingkunden dann in unserem Namen senden könnten.
ich bin gerade am konsolidieren unseres historisch gewachsenen E-Mail Systems.
Bei der Auflösung von den SPF Einträge ist mir aufgefallen das wir zum Teil 1000nden IPs erlauben im Namen von unseren Maildomains zu senden.
Erster Gedanke, fu.
Zweiter Gedanke, ahh cloud (MS 365 zum Beisspiel) ist blöd, aber ist halt so, Cloudwelt.
Dritter Gedanke, hmm ist SPF überhaupt noch relevant, wenn überhaupt als mini Punkt in einer Kette von Überprüfungen.
Zumindest wenn ein System nun auch noch den PTR Eintrag abfragen sollte ist Schluss mit, da stehen in der Regel bei den Cloudhostern nicht die Kundendomänen drin.
Achtet ihr noch auf was da in den SPF Einträgen steht, wenn euch mal wieder ein Cloud Dienstanbieter den include Eintrag für den kompletten Hoster durchgibt?
Ich habe da im Moment ein gemischtes Gefühl, da ja theoretisch alle Hostingkunden dann in unserem Namen senden könnten.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 24187127759
Url: https://administrator.de/contentid/24187127759
Ausgedruckt am: 23.11.2024 um 11:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
da noch viele Mailsysteme den SPF-Eintrag prüfen, erübrigt sich die Frage.
Dass das System durch die ganzen Cloudgeschichten etwas ausgehebelt wird, stimmt sicherlich - aber du hast ja selbst geschrieben, dass das nur ein Puzzleteil von vielen ist.
Gruß
da noch viele Mailsysteme den SPF-Eintrag prüfen, erübrigt sich die Frage.
Dass das System durch die ganzen Cloudgeschichten etwas ausgehebelt wird, stimmt sicherlich - aber du hast ja selbst geschrieben, dass das nur ein Puzzleteil von vielen ist.
Gruß
Hi
ja ist weiter relevant.
SPF, DKIM, DMARC. Ohne die 3 hat man ein Problem
O365 zB lässt dich ja nur von den Domains aus senden die du unter deinem Tenant registriert hast
ja ist weiter relevant.
SPF, DKIM, DMARC. Ohne die 3 hat man ein Problem
Ich habe da im Moment ein gemischtes Gefühl, da ja theoretisch alle Hostingkunden dann in unserem Namen senden könnten.
Theoretisch ja, aber da sind dann ja die Anbieter in der Verantwortung das so zu regeln das man das von denen aus halt nicht kann.O365 zB lässt dich ja nur von den Domains aus senden die du unter deinem Tenant registriert hast
Moin,
aktuell sind meist SPF, DKIM und DMARC.
Vieles inzwischen mit ARC verwaltet und ausgewertet.
Ja, bei SPF-Includes holt man sich "einfach" einen Account bei der gleichen Firma und kann per SMTP den Absender fälschen. Die meisten Provider verhindern das aber recht effektiv. Allgemein hilft DKIM.
Stefan
aktuell sind meist SPF, DKIM und DMARC.
Vieles inzwischen mit ARC verwaltet und ausgewertet.
Ja, bei SPF-Includes holt man sich "einfach" einen Account bei der gleichen Firma und kann per SMTP den Absender fälschen. Die meisten Provider verhindern das aber recht effektiv. Allgemein hilft DKIM.
Stefan
Die Kombination machts, ergo: Ja, definitiv relevant und würde sich jeder dran (und weitere Standards) halten hätten wir alle ein ruhigeres Leben.
natürlich wird SPF überprüft und ist auch sinnvoll....
Wenn ein Betreiber aber zu doof ist und im SPF alles mögliche freigibt ist er ja komplett selbst schuld dann wenn die reputation seiner email domain vor die hunde geht, und ja natürlich hebelt er den SPF schutz dann für seine Firma aus... aber was interessiert mich das selbst verursachte leid von anderen?
Und durch den cloud müll holt man sich das nunmal mit ins boot das die komplette MS Server Farm in de Cloud dann sende berechtigt ist... das war aber jedem von anfang an klar das es dann so ist.
Bedankt sich jeder Email admin... da ein kompletter anti Spam mechanismus dadurch eben ausgeheblt wird.
Bedeutet jede MS Cloud Email domain kann nicht mehr mit diesem mechanismus mehr geblockt werden wiel viel zu viele den schrott benutzen. gleiches gilt für leute die gmail.com als geschäfts email adressen benutzen usw...
und so zerstören die netten leute selbst die security... andere nette hersterller im bereich webfiltering:
adobe.io hat wohl ein marketing mensch witzig gefunden .io zu nehmen weil input output... dumm wenn man country blocking an hat und .io nun mal als das deklariert was es ist.... microsoft schenkt sich da auch nix und andere sind auch witzig. hammer hat CAD hersteller abgeschossen - schickt er ne white list welche URLS freigeschaltet werden müssen... nur dumm wenn man seinen cloud server bei amazon.aws nicht mit draufsetzt... (also selbst nicht mal seine URLs kennt) danke danke danke an alle entwickler die zum dumm zum sch...ssen sind
Aber sehen wirs positiv, dank dieser menschen ist unser arbeitsplatz garantiert.... und nicht durch KIs ersetzbar... die können nämlich nur mit logik automatisieren und nicht mit hirnfurzen
Wenn ein Betreiber aber zu doof ist und im SPF alles mögliche freigibt ist er ja komplett selbst schuld dann wenn die reputation seiner email domain vor die hunde geht, und ja natürlich hebelt er den SPF schutz dann für seine Firma aus... aber was interessiert mich das selbst verursachte leid von anderen?
Und durch den cloud müll holt man sich das nunmal mit ins boot das die komplette MS Server Farm in de Cloud dann sende berechtigt ist... das war aber jedem von anfang an klar das es dann so ist.
Bedankt sich jeder Email admin... da ein kompletter anti Spam mechanismus dadurch eben ausgeheblt wird.
Bedeutet jede MS Cloud Email domain kann nicht mehr mit diesem mechanismus mehr geblockt werden wiel viel zu viele den schrott benutzen. gleiches gilt für leute die gmail.com als geschäfts email adressen benutzen usw...
und so zerstören die netten leute selbst die security... andere nette hersterller im bereich webfiltering:
adobe.io hat wohl ein marketing mensch witzig gefunden .io zu nehmen weil input output... dumm wenn man country blocking an hat und .io nun mal als das deklariert was es ist.... microsoft schenkt sich da auch nix und andere sind auch witzig. hammer hat CAD hersteller abgeschossen - schickt er ne white list welche URLS freigeschaltet werden müssen... nur dumm wenn man seinen cloud server bei amazon.aws nicht mit draufsetzt... (also selbst nicht mal seine URLs kennt) danke danke danke an alle entwickler die zum dumm zum sch...ssen sind
Aber sehen wirs positiv, dank dieser menschen ist unser arbeitsplatz garantiert.... und nicht durch KIs ersetzbar... die können nämlich nur mit logik automatisieren und nicht mit hirnfurzen
Ok,
bei uns hat einfach mein Vorgänger Pech gehabt welches ich jetzt ausbaden darf
Das wird schwer wieder geradezubiegen....
bei uns hat einfach mein Vorgänger Pech gehabt welches ich jetzt ausbaden darf
Unser spf include:firma1
-> firma1 include:hoster1 include:hoster2 include:MS365
-> hoster1 include:amazon include:hoster3
Das wird schwer wieder geradezubiegen....
