stefankittel
Goto Top

Kann man mit SPF Mails für eine Domäne vollständig verbieten?

Hallo,

viele Firmen haben ja zusätzliche Domänen.
Als Web- und oder Mail-weiterleitung.

Es werden also niemals Emails damit gesendet werden.

kann man mit einem "v=spf1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Ich habe dazu gar nichts gefunden. Es ging immer nur um Domänen wo auch Mails mit gesendet werden.

Stefan

Update: Ich meine natürlich SPF und SFP(+)...

Content-Key: 659887

Url: https://administrator.de/contentid/659887

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: chgorges
chgorges 06.03.2021 um 22:39:53 Uhr
Goto Top
Moin,

also SFP sind LWL-Transceiver, die haben mit Mails nichts zu tun face-smile

Das SPF, Sender Policy Framework, hat nur mit dem Versenden von Mails zu tun.

Als Web- und oder Mail-weiterleitung.
kann man mit einem "v=sfp1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Es ging immer nur um Domänen wo auch Mails mit gesendet werden

Die drei Zeilen widersprechen sich, Spammer nutzen ja nur die Sendefunktion und wie gesagt, bei SPF geht es nur ums Versenden.

Was benötigst, bzw. meinst du wirklich?

VG
Mitglied: StefanKittel
StefanKittel 06.03.2021 aktualisiert um 23:00:45 Uhr
Goto Top
Zitat von @chgorges:
Die drei Zeilen widersprechen sich, Spammer nutzen ja nur die Sendefunktion und wie gesagt, bei SPF geht es nur ums Versenden.
Ich möchte erreichen, dass Niemand mit einer bestimmten Domäne senden kann.

Die Firma hat die Hauptdomäne firma.de für Web und Mail.
Hat aber auch firma.com mit Weiterleitung für Web und Mail.
Aber Niemand der Firma wird mit firma.com Emails senden.
Also könnte ich doch mit SPF das Senden mit -all ganz verhindern oder?

Stefan
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 06.03.2021 aktualisiert um 22:52:54 Uhr
Goto Top
Zitat von @StefanKittel:

Also könnte ich doch mit SPF das Senden mit -all ganz verhindern oder?

Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.

lks
Mitglied: StefanKittel
StefanKittel 06.03.2021 um 23:01:41 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Klar, im Rahmen dessen was SPF leisten kann.
Aber es ist kein Aufwand, kostet nix und hilft zumindest ein bisschen.

Stefan
Mitglied: chgorges
chgorges 06.03.2021 um 23:09:06 Uhr
Goto Top
Zitat von @StefanKittel:
Hat aber auch firma.com mit Weiterleitung für Web und Mail.
Aber Niemand der Firma wird mit firma.com Emails senden.
?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.03.2021 aktualisiert um 23:19:10 Uhr
Goto Top
Zitat von @chgorges:

?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.

I.d.R. wird bei solchen "weiterleitungen" keinerlei Mail herumgeschickt, sondern nur der gleiche MX verwendet oder nur intern umgeschrieben. Da wird nix mit Absender Firma.com verschickt.

Edit:

Das ist wie mit der Briefpost: Du hast entweder einen Briefkasten auf dem firma.com und firma.de steht und beides im gleichen Kasten (=MX) landet oder Du hast einen "Nachsendeantrag", auf dem nur der Empfänger angepaßt wird, aber der Absender gleich bleibt (verschiedene MXe). Dann muß der MTA des Empfängers entsprechend eingerichtet sein, daß er vom andern MX Mails mit "falschen Absendern" auch annimmt.

Wenn man das als Weiterleitung in "Outlook" oder Exchange so einrichtet, daß der Absender geändert wird, hat man seinen Job nicht gemacht.

lks
Mitglied: StefanKittel
StefanKittel 06.03.2021 aktualisiert um 23:30:21 Uhr
Goto Top
Zitat von @chgorges:
?? Du hast ne Mail-Weiterleitung von .com auf .de eingerichtet, natürlich sendest du dann mit der .com-Adresse.
Nein, denn es handelt sich um einen Alias.

m.mustermann@firma.de (senden und empfangen)
m.mustermann@firma.com (nur empfangen in Mailbox m.mustermann@firma.de)

Wenn in Deinem GMX-Account also eine Mail von m.mustermann@firma.com ankommt, kann GMX diese anhand des SPF ablehnen.
Eine Spam/Phising-Mail weniger.

Viel bringt das Alles nicht.
Ich habe es neulich bei einem Kunden gesehen.
Da kam eine Mail von Lieferant.com an.
Korrekt bei o365 angelegt, SPF, DKIM, MX, alles richtig. Web-Weiterleitung auf die richtige Webseite lieferant.no.
Mitglied: StefanKittel
StefanKittel 06.03.2021 um 23:31:02 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Aber ausprobiert hast Du das auch noch nicht oder?
Mitglied: mbehrens
mbehrens 06.03.2021 um 23:48:01 Uhr
Goto Top
Zitat von @StefanKittel:

viele Firmen haben ja zusätzliche Domänen.
Als Web- und oder Mail-weiterleitung.

Es werden also niemals Emails damit gesendet werden.

kann man mit einem "v=spf1 -all" diese Domäne sperren damit Spammer/Phishier die nicht nutzen könenn?
Ich habe dazu gar nichts gefunden. Es ging immer nur um Domänen wo auch Mails mit gesendet werden.

Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Mitglied: StefanKittel
StefanKittel 07.03.2021 um 00:08:32 Uhr
Goto Top
Zitat von @mbehrens:
Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.
Aber der Syntax ist doch richtig?
Also sollte jedes System was SPF auswertet solche Mails ablehnen oder nicht?
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 07.03.2021 um 00:09:45 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @Lochkartenstanzer:
Sollte imho im Prinzip so funktioneiren, aber nur dann, wenn der Addresat das auch (korrekt) auswertet.
Aber ausprobiert hast Du das auch noch nicht oder?

Nee, hatte bisher keinen Anlaß dazu. Aber ich lese die Spezifikation (RFC) auch so, daß es damit alles verbieten sollte.

lks
Mitglied: StefanKittel
StefanKittel 07.03.2021 um 00:11:49 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Nee, hatte bisher keinen Anlaß dazu. Aber ich lese die Spezifikation (RFC) auch so, daß es damit alles verbieten sollte.
Einen richtigen Anlaß habe ich auch nicht.
Aber es stört ja auch nicht.
Und damit würde der Exchange des Kunden Emails von chef@firma.com automatisch ablehnen weil es SPF auswertet wenn verfügbar.
Stefan
Mitglied: LordGurke
Lösung LordGurke 07.03.2021 um 00:13:29 Uhr
Goto Top
Das sollte so gehen, der Erfahrung nach wird aber aufgrund der inhärenten Probleme mit SPF meist "-all" nicht so angewandt, wie man es will.

Du solltest also zusätzlich eine DMARC-Policy veröffentlichen, die explizit "reject" einfordert. Und wenn du neugierig bist, kannst du dir auch Reports senden lassen, wenn trotzdem irgendwo Mails mit dieser Absender-Domain auftauchen.

Bei den Domains, wo das konfiguriert ist, wirkt zumindest DMARC deutlich besser als SPF alleine für sich.
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 07.03.2021 um 00:14:03 Uhr
Goto Top
Zitat von @mbehrens:

Nein. Dies ist ja nur ein Wunsch gegenüber des Empfängers, wie er mit den sendenden Systemen umgehen könnte.

Eben: Wenn der Empfänger SPF auswertet, respektiert er vermutlich auch diesen Wunsch. Ansonsten ist er selbst schuld, wenn er SPAM eingetütet bekommt.

lks
Mitglied: StefanKittel
StefanKittel 07.03.2021 um 00:18:45 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Ansonsten ist er selbst schuld, wenn er SPAM eingetütet bekommt.
Man kann nicht alle retten.....

PS: Ich brauche ein 2. T-Shirt.
Neben "Kein Backup kein Mitleid" auch noch "Viel Spam kein Mitleid"....
Mitglied: mbehrens
mbehrens 07.03.2021 um 00:19:47 Uhr
Goto Top
Zitat von @LordGurke:

Du solltest also zusätzlich eine DMARC-Policy veröffentlichen, die explizit "reject" einfordert. Und wenn du neugierig bist, kannst du dir auch Reports senden lassen, wenn trotzdem irgendwo Mails mit dieser Absender-Domain auftauchen.

Auch das ist ja wieder nur ein Wunsch gegenüber dem Empfänger. Was er dann tatsächlich macht (reject, spam Ordner, Quarantäne) ist seine Sache.
Mitglied: LordGurke
LordGurke 07.03.2021 um 01:02:16 Uhr
Goto Top
Ja, aber im Gegensatz zu SPF, was bei Weiterleitungen regelmäßig Probleme macht, ist DMARC/DKIM viel weniger fehleranfällig.
Kaputte und fehlende DKIM-Signaturen lasse ich ablehnen, ein SPF-Fail werte ich aber eher lax, da sonst die Hälfte der umgeleiteten Mails nicht ankäme.