Kann man mit SPF Mails für eine Domäne vollständig verbieten?

Mitglied: StefanKittel

StefanKittel (Level 5) - Jetzt verbinden

06.03.2021, aktualisiert 07.03.2021, 1131 Aufrufe, 17 Kommentare

Hallo,

viele Firmen haben ja zusätzliche Domänen.
Als Web- und oder Mail-weiterleitung.

Es werden also niemals Emails damit gesendet werden.

kann man mit einem "v=spf1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Ich habe dazu gar nichts gefunden. Es ging immer nur um Domänen wo auch Mails mit gesendet werden.

Stefan

Update: Ich meine natürlich SPF und SFP(+)...
Mitglied: chgorges
06.03.2021 um 22:39 Uhr
Moin,

also SFP sind LWL-Transceiver, die haben mit Mails nichts zu tun :) face-smile

Das SPF, Sender Policy Framework, hat nur mit dem Versenden von Mails zu tun.

Als Web- und oder Mail-weiterleitung.
kann man mit einem "v=sfp1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Es ging immer nur um Domänen wo auch Mails mit gesendet werden

Die drei Zeilen widersprechen sich, Spammer nutzen ja nur die Sendefunktion und wie gesagt, bei SPF geht es nur ums Versenden.

Was benötigst, bzw. meinst du wirklich?

VG
Bitte warten ..
Mitglied: StefanKittel
06.03.2021, aktualisiert um 23:00 Uhr
Zitat von @chgorges:
Die drei Zeilen widersprechen sich, Spammer nutzen ja nur die Sendefunktion und wie gesagt, bei SPF geht es nur ums Versenden.
Ich möchte erreichen, dass Niemand mit einer bestimmten Domäne senden kann.

Die Firma hat die Hauptdomäne firma.de für Web und Mail.
Hat aber auch firma.com mit Weiterleitung für Web und Mail.
Aber Niemand der Firma wird mit firma.com Emails senden.
Also könnte ich doch mit SPF das Senden mit -all ganz verhindern oder?

Stefan
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 06.03.2021, aktualisiert um 22:52 Uhr
Zitat von @StefanKittel:

Also könnte ich doch mit SPF das Senden mit -all ganz verhindern oder?

Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.

lks
Bitte warten ..
Mitglied: StefanKittel
06.03.2021 um 23:01 Uhr
Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Klar, im Rahmen dessen was SPF leisten kann.
Aber es ist kein Aufwand, kostet nix und hilft zumindest ein bisschen.

Stefan
Bitte warten ..
Mitglied: chgorges
06.03.2021 um 23:09 Uhr
Zitat von @StefanKittel:
Hat aber auch firma.com mit Weiterleitung für Web und Mail.
Aber Niemand der Firma wird mit firma.com Emails senden.
?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.
Bitte warten ..
Mitglied: Lochkartenstanzer
06.03.2021, aktualisiert um 23:19 Uhr
Zitat von @chgorges:

?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.

I.d.R. wird bei solchen "weiterleitungen" keinerlei Mail herumgeschickt, sondern nur der gleiche MX verwendet oder nur intern umgeschrieben. Da wird nix mit Absender Firma.com verschickt.

Edit:

Das ist wie mit der Briefpost: Du hast entweder einen Briefkasten auf dem firma.com und firma.de steht und beides im gleichen Kasten (=MX) landet oder Du hast einen "Nachsendeantrag", auf dem nur der Empfänger angepaßt wird, aber der Absender gleich bleibt (verschiedene MXe). Dann muß der MTA des Empfängers entsprechend eingerichtet sein, daß er vom andern MX Mails mit "falschen Absendern" auch annimmt.

Wenn man das als Weiterleitung in "Outlook" oder Exchange so einrichtet, daß der Absender geändert wird, hat man seinen Job nicht gemacht.

lks
Bitte warten ..
Mitglied: StefanKittel
06.03.2021, aktualisiert um 23:30 Uhr
Zitat von @chgorges:
?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.
Nein, denn es handelt sich um einen Alias.

m.mustermann@firma.de (senden und empfangen)
m.mustermann@firma.com (nur empfangen in Mailbox m.mustermann@firma.de)

Wenn in Deinem GMX-Account also eine Mail von m.mustermann@firma.com ankommt, kann GMX diese anhand des SPF ablehnen.
Eine Spam/Phising-Mail weniger.

Viel bringt das Alles nicht.
Ich habe es neulich bei einem Kunden gesehen.
Da kam eine Mail von Lieferant.com an.
Korrekt bei o365 angelegt, SPF, DKIM, MX, alles richtig. Web-Weiterleitung auf die richtige Webseite lieferant.no.
Bitte warten ..
Mitglied: StefanKittel
06.03.2021 um 23:31 Uhr
Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Aber ausprobiert hast Du das auch noch nicht oder?
Bitte warten ..
Mitglied: mbehrens
06.03.2021 um 23:48 Uhr
Zitat von @StefanKittel:

viele Firmen haben ja zusätzliche Domänen.
Als Web- und oder Mail-weiterleitung.

Es werden also niemals Emails damit gesendet werden.

kann man mit einem "v=spf1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Ich habe dazu gar nichts gefunden. Es ging immer nur um Domänen wo auch Mails mit gesendet werden.

Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Bitte warten ..
Mitglied: StefanKittel
07.03.2021 um 00:08 Uhr
Zitat von @mbehrens:
Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Aber der Syntax ist doch richtig?
Also sollte jedes System was SPF auswertet solche Mails ablehnen oder nicht?
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 07.03.2021 um 00:09 Uhr
Zitat von @StefanKittel:

Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Aber ausprobiert hast Du das auch noch nicht oder?

Nee, hatte bisher keinen Anlaß dazu. Aber ich lese die Spezifikation (RFC) auch so, daß es damit alles verbieten sollte.

lks
Bitte warten ..
Mitglied: StefanKittel
07.03.2021 um 00:11 Uhr
Zitat von @Lochkartenstanzer:
Nee, hatte bisher keinen Anlaß dazu. Aber ich lese die Spezifikation (RFC) auch so, daß es damit alles verbieten sollte.
Einen richtigen Anlaß habe ich auch nicht.
Aber es stört ja auch nicht.
Und damit würde der Exchange des Kunden Emails von chef@firma.com automatisch ablehnen weil es SPF auswertet wenn verfügbar.
Stefan
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 07.03.2021 um 00:13 Uhr
Das sollte so gehen, der Erfahrung nach wird aber aufgrund der inhärenten Probleme mit SPF meist "-all" nicht so angewandt, wie man es will.

Du solltest also zusätzlich eine DMARC-Policy veröffentlichen, die explizit "reject" einfordert. Und wenn du neugierig bist, kannst du dir auch Reports senden lassen, wenn trotzdem irgendwo Mails mit dieser Absender-Domain auftauchen.

Bei den Domains, wo das konfiguriert ist, wirkt zumindest DMARC deutlich besser als SPF alleine für sich.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 07.03.2021 um 00:14 Uhr
Zitat von @mbehrens:

Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.

Eben: Wenn der Empfänger SPF auswertet, respektiert er vermutlich auch diesen Wunsch. Ansonsten ist er selbst schuld, wenn er SPAM eingetütet bekommt.

lks
Bitte warten ..
Mitglied: StefanKittel
07.03.2021 um 00:18 Uhr
Zitat von @Lochkartenstanzer:
...... Ansonsten ist er selbst schuld, wenn er SPAM eingetütet bekommt.
Man kann nicht alle retten.....

PS: Ich brauche ein 2. T-Shirt.
Neben "Kein Backup kein Mitleid" auch noch "Viel Spam kein Mitleid"....
Bitte warten ..
Mitglied: mbehrens
07.03.2021 um 00:19 Uhr
Zitat von @LordGurke:

Du solltest also zusätzlich eine DMARC-Policy veröffentlichen, die explizit "reject" einfordert. Und wenn du neugierig bist, kannst du dir auch Reports senden lassen, wenn trotzdem irgendwo Mails mit dieser Absender-Domain auftauchen.

Auch das ist ja wieder nur ein Wunsch gegenüber dem Empfänger. Was er dann tatsächlich macht (reject, spam Ordner, Quarantäne) ist seine Sache.
Bitte warten ..
Mitglied: LordGurke
07.03.2021 um 01:02 Uhr
Ja, aber im Gegensatz zu SPF, was bei Weiterleitungen regelmäßig Probleme macht, ist DMARC/DKIM viel weniger fehleranfällig.
Kaputte und fehlende DKIM-Signaturen lasse ich ablehnen, ein SPF-Fail werte ich aber eher lax, da sonst die Hälfte der umgeleiteten Mails nicht ankäme.
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Was passiert wenn ich zeitgleich PoE und Strom vom Netzteil an einen Access Point (Mikrotik) lege?
kartoffelesserVor 1 TagFrageNetzwerke3 Kommentare

Hallo Experten und Admins Ich habe einen Mikrotik wAP ac (RB-WAPG-5HACD2HND) an einem Laptopwagen im Einsatz. Leider ist die vorhandene Stromversorgung für den AP ...

Windows Server
Infrastruktur für Firma
brainwashVor 16 StundenFrageWindows Server7 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle17 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Windows Server
Windows 10 VM auf Server 2019 Essentials
jhuedderVor 1 TagFrageWindows Server10 Kommentare

Hallo, einer meiner Kunden möchte aus Kostengründen einen Windows Server 2019 (direkt auf einer physikalischen Maschine installiert) erwerben und dort für einen Außendienstler mit ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 17 StundenAllgemeinServer-Hardware9 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

Windows Server
Veeam Endpoint Backup FREE zur Sicherung eines DCs
gelöst takvorianVor 1 TagFrageWindows Server7 Kommentare

Hallo zusammen, ich habe hier bei mir 1 Hypervisor mit 4 VMs (darunter 1 DC) welche ich mittels backupAssist alle wegsichere. Klappt soweit auch ...

LAN, WAN, Wireless
WLan-unterstütztes Telefonieren iOS, Unifi
VisuciusVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo. Ich bins (wieder) ;-) Guten Morgen, ich beobachte seit einer Umstellung ein "komisches Verhalten" und kann mir das gerade nicht erklären. Und vielleicht ...

LAN, WAN, Wireless
Heimnetzwerk mit VLAN - getrennter Internetzugang
gelöst anyibkVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo liebe Community! Ich bastle seit einiger Zeit an einem recht besonderen Heimnetzwerkproblem. Wir haben einen neuen Glasfaseranschluss ins Haus (3 Parteien) bekommen und ...