SPF reject von Outlook und Hotmail

classic Classic list List threaded Threaded
37 messages Options
12
Reply | Threaded
Open this post in threaded view
|

AW: SPF reject von Outlook und Hotmail

Daniel-4
Hi Max,

wie am besten umsetzen?

Habe bisher nicht mit anderen Regeln in Spamassain gearbeitet.

Die 50_scores.cf wird doch bestimmt durch nen SA Update ggf. wieder überschrieben, oder?

Also einfach z.B. in local.cf
score SPF_SOFTFAIL 5
score SPF_NEUTRAL 3
score SPF_PASS -1
score SPF_FAIL 8
schreiben, so dass die Standard Regel überschrieben wird?

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Max Grobecker
Gesendet: Sonntag, 3. Juli 2016 13:59
An: [hidden email]
Betreff: Re: SPF reject von Outlook und Hotmail

Hi,

> ich habe in den header-checks für softfail nen reject drinnen, sonst keine weiteren Regeln.
> /^Received-SPF: softfail/ REJECT

genau die dürfte dein Problem sein.
Zum einen will man, wie Daniel Gompf schon schrieb den SoftFail eigentlich nicht ablehnen (aber vielleicht mit SpamAssassin schlechter bewerten),
zum anderen wird diese Regel auch durch fremde Header getriggert - in deinem Fall durch Header die schwachsinnigerweise von Hotmail intern gesetzt wurden.
Lasse den SPF-Check das selbst entscheiden was er ablehnt oder konfiguriere den es zu tun, solche Headerchecks gehen irgendwann nach hinten los wie du siehst.

Viele Grüße aus dem Tal
Max



Reply | Threaded
Open this post in threaded view
|

Re: SPF reject von Outlook und Hotmail

Robert Möker


Am 03.07.2016 um 14:17 schrieb Daniel:
> Hi Max,
>
> wie am besten umsetzen?
>
> Habe bisher nicht mit anderen Regeln in Spamassain gearbeitet.
>
> Die 50_scores.cf wird doch bestimmt durch nen SA Update ggf. wieder überschrieben, oder?

Ja die wird überschrieben.

> Also einfach z.B. in local.cf
> score SPF_SOFTFAIL 5
> score SPF_NEUTRAL 3
> score SPF_PASS -1
> score SPF_FAIL 8
> schreiben, so dass die Standard Regel überschrieben wird?

Genau dort hin mit deinen sonder oder overrules.

Gruß
Robert

> Gruß Daniel
>
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Max Grobecker
> Gesendet: Sonntag, 3. Juli 2016 13:59
> An: [hidden email]
> Betreff: Re: SPF reject von Outlook und Hotmail
>
> Hi,
>
>> ich habe in den header-checks für softfail nen reject drinnen, sonst keine weiteren Regeln.
>> /^Received-SPF: softfail/ REJECT
>
> genau die dürfte dein Problem sein.
> Zum einen will man, wie Daniel Gompf schon schrieb den SoftFail eigentlich nicht ablehnen (aber vielleicht mit SpamAssassin schlechter bewerten),
> zum anderen wird diese Regel auch durch fremde Header getriggert - in deinem Fall durch Header die schwachsinnigerweise von Hotmail intern gesetzt wurden.
> Lasse den SPF-Check das selbst entscheiden was er ablehnt oder konfiguriere den es zu tun, solche Headerchecks gehen irgendwann nach hinten los wie du siehst.
>
> Viele Grüße aus dem Tal
> Max
>
>
>
Reply | Threaded
Open this post in threaded view
|

AW: SPF reject von Outlook und Hotmail

Daniel-4
Hi,

was habt ihr so für Werte? Ich würde sonst mich ungefähr einpendeln bei:

score SPF_PASS -1
score SPF_NONE 1
score SPF_NEUTRAL 2
score SPF_SOFTFAIL 5
score SPF_FAIL 8

score SPF_HELO_PASS -1
score SPF_HELO_NONE 1
score SPF_HELO_NEUTRAL 2
score SPF_HELO_SOFTFAIL 5
score SPF_HELO_FAIL 8

score DKIM_SIGNED -0,5
score DKIM_VALID -0.5
score DKIM_VALID_AU -0.5
score DKIM_VERIFIED -1

Und wie bekomm ich SA dazu, immer header zu schreiben mit Bewertung? Wenn Spam ist, steht ja eine, aber eben nicht bei den anderen. Mit

add_header all Status _YESNO_, score=_SCORE_ required=_REQD_ tests=_TESTS_ autolearn=_AUTOLEARN_ version=_VERSION_
add_header all Level _STARS(*)_
add_header all Report _REPORT_ *

klappt es bisher nicht wirklich.

Gruß Daniel

Reply | Threaded
Open this post in threaded view
|

Re: SPF reject von Outlook und Hotmail

Daniel Gompf
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo

Am 03.07.2016 um 19:38 schrieb Daniel:
> Hi,
>
> was habt ihr so für Werte? Ich würde sonst mich ungefähr einpendeln
> bei:
>
Das musst du schon selber rausfinden. Das hängt von deinen Nutzern,
den Kommunikationspartnern, deinen Grenzwerten (wann ist es Spam) und
auch am Anfang vom Bauchgefühl bzw. Mut ab. Aber meistens passen die
Standartwerte sehr gut, wenn du hier zu viel veränderst wird es nur
selten besser.
Zudem könne SPF und DKIM durch verschiedene Quellen gestört werden
(z.B.: Mailing Listen, Weiterleitungen), dann rennen die bei dir
gleich gegen die Wand.

>
> Und wie bekomm ich SA dazu, immer header zu schreiben mit
> Bewertung? Wenn Spam ist, steht ja eine, aber eben nicht bei den
> anderen. Mit
>
> add_header all Status _YESNO_, score=_SCORE_ required=_REQD_
> tests=_TESTS_ autolearn=_AUTOLEARN_ version=_VERSION_ add_header
> all Level _STARS(*)_ add_header all Report _REPORT_ *

Geht da bei dir vorher amavis ran oder gibst du das direkt an sa?
Mit amavis solltest du es über die Variablen $sa_tag_level_deflt und
local_domain* regeln können.

Wenn du nur sa verwendetes lass mal das * bei der Report-Zeile weg.

>
> klappt es bisher nicht wirklich.
>
> Gruß Daniel
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJXeYQ/AAoJENuvw56q5FOi5jUH/2ZepzgueJ97MTokM5WTK+0g
fh4kHVGVl7zzNY1skpQMqo/JseXiiQvKlNjj1h+4eMQ9ANm/CQzxjFEBb3hDGSxy
z8Rrq8wUCsqtY1XI+23p0NUODEcYlMWTtZMTDMH+8WXR1tuHpd59O9sSGumaRe1w
p0ieI2z2iUC47Ey8rCXM8KvsAuNm0kD4tZ093750pLwOGdeRstI3fM/GD3fhgNX9
Kv9Q+yNqJBwCq7KWFJ7IaLgZQ8EYe16ewFaYJyTIfjZpEhvruIILvh8fFw6wq88G
+2i7A2Tu46nZ2+tO/cUA/C5fEuzifXh1fDbN+Kz8iMrS8K9Hw4lihkLzi3QQ5II=
=caJg
-----END PGP SIGNATURE-----
Reply | Threaded
Open this post in threaded view
|

AW: SPF reject von Outlook und Hotmail

Daniel-4
Hi,

danke für die Rückmeldung, ich habe aktuell nur ein Mix aus Postfix, opendmarc/kim, SA und MailScanner.

Grenze für Spam habe ich aktuell bei 5, und Spam wird über sieve Regel beim Benutzer in Spamordner verschoben.

Gedacht ist also, dass SPF Softfail nicht mehr abgewiesen wird, sondern direkt im Spam landet, und somit überhaupt ankommt. Bisher gab es sonst keine wirklichen Auffälligkeiten mit spf softfail reject.

Andere Thema war ja bei mir Firmen EA und Blizzard, die haben ja falsche Hostnamen, die wären also auch so nicht durchgekommen.

Nun sind es eher mal Firmen wie Telefonica (o2/Base) oder Mediamarkt wo manche Mails alles ohne Beanstandung bestehen, und andere wieder nicht.

Kommt wohl von, wenn man für Gutscheine, Newsletter und so diverse System einsetzt und der tolle Admin meint dann nur Ticketsystem ein SPD einzutragen oder ähnliches.

Teilweise echt nicht nachvollzuziehen wie manche Firmen besonders bei Telekommunikationsanbieter oder Hostinganbieter solche Fehler machen und denen es nicht mal wirklich auffällt. 1&1 hatte vor kurzem für deren Kundenforum mit internen Hostname in Emailadresse die Emails verwendet, und den sich zich tausende Rückmailer nicht aufgefallen. Nachdem ein Kunde dort ganze gemeldet hat dass sowas wie [hidden email] verwendet wird für externe Mails und deswegen Fehler gibt, hatte man es nach halber bis ganze Woche mal behoben.

Ich biete für eine Hand voll interessierten Nutzer auch an, dass die wenn am Vortag reject gab was die betrifft z.B. durch DNSBL oder so, bekommen die Teilauszüge aus dem Log zur Kenntnis per Emails als Cronjob. Mache ganze auch nur privat und für sehr wenige Leute. Würde ich ganze gewerblich machen, hätte ich bestimmt auch schon beim Peer einige Lehrgänge gebucht und so. Mal sehen ob ich mir demnächst wegen endlich mal Postfix Buch ordnern kann. Über Amazon createspace kann man wohl auch Bücher drucken lassen und so, aber denke, da gibt s bestimmt Punkte die dem Peer nicht passen.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Daniel Gompf
Gesendet: Sonntag, 3. Juli 2016 23:32
An: Diskussionen und Support rund um Postfix
Betreff: Re: SPF reject von Outlook und Hotmail

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo

Am 03.07.2016 um 19:38 schrieb Daniel:
> Hi,
>
> was habt ihr so für Werte? Ich würde sonst mich ungefähr einpendeln
> bei:
>
Das musst du schon selber rausfinden. Das hängt von deinen Nutzern,
den Kommunikationspartnern, deinen Grenzwerten (wann ist es Spam) und
auch am Anfang vom Bauchgefühl bzw. Mut ab. Aber meistens passen die
Standartwerte sehr gut, wenn du hier zu viel veränderst wird es nur
selten besser.
Zudem könne SPF und DKIM durch verschiedene Quellen gestört werden
(z.B.: Mailing Listen, Weiterleitungen), dann rennen die bei dir
gleich gegen die Wand.

>
> Und wie bekomm ich SA dazu, immer header zu schreiben mit
> Bewertung? Wenn Spam ist, steht ja eine, aber eben nicht bei den
> anderen. Mit
>
> add_header all Status _YESNO_, score=_SCORE_ required=_REQD_
> tests=_TESTS_ autolearn=_AUTOLEARN_ version=_VERSION_ add_header
> all Level _STARS(*)_ add_header all Report _REPORT_ *

Geht da bei dir vorher amavis ran oder gibst du das direkt an sa?
Mit amavis solltest du es über die Variablen $sa_tag_level_deflt und
local_domain* regeln können.

Wenn du nur sa verwendetes lass mal das * bei der Report-Zeile weg.

>
> klappt es bisher nicht wirklich.
>
> Gruß Daniel


Reply | Threaded
Open this post in threaded view
|

AW: SPF reject von Outlook und Hotmail

Daniel-4
In reply to this post by Daniel Gompf
Nachtrag zur Mail grad wegen keine Bewertung im Header bei nicht Spam.

Problem war hier nicht SA sondern MailScanner hat ganze zurückgehalten.

Also bei MailScanner dann die Option geändert von no auf yes
Always Include SpamAssassin Report = yes

Reply | Threaded
Open this post in threaded view
|

Re: SPF reject von Outlook und Hotmail

Jens Adam-2
In reply to this post by Daniel-4
Sun, 3 Jul 2016 19:38:03 +0200
"Daniel" <[hidden email]>:

> score SPF_PASS -1
> score SPF_NONE 1
> score SPF_NEUTRAL 2
> score SPF_SOFTFAIL 5
> score SPF_FAIL 8
> [...]

Mich würde ja mal interessieren, welche Überlegung dahinter steckt, für
SPF_NEUTRAL (also "... ?all") positive Punkte zu vergeben.

Da hat sich ein Admin die Mühe gemacht, einen Eintrag zu erstellen,
der so ungefähr aussagt "Ne Liste meiner MailOuts is ja eigentlich
recht informativ, aber ansonsten soll bloss keiner daraufhin
irgendwas blocken, denn SPF ist broken by design".

Und dann kommt einer wie du und ballert da +2 drauf. Sogar noch ein
Punkt mehr als wenn gar kein SPF Record da wäre.

Faszinierend.

--byte

attachment0 (465 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: SPF reject von Outlook und Hotmail

Andreas Schulze
Am 04.07.2016 um 05:10 schrieb Jens Adam:

> Sun, 3 Jul 2016 19:38:03 +0200
> "Daniel" <[hidden email]>:
>
>> score SPF_PASS -1
>> score SPF_NONE 1
>> score SPF_NEUTRAL 2
>> score SPF_SOFTFAIL 5
>> score SPF_FAIL 8
>> [...]
>
> Mich würde ja mal interessieren, welche Überlegung dahinter steckt, für
> SPF_NEUTRAL (also "... ?all") positive Punkte zu vergeben.
>
> Da hat sich ein Admin die Mühe gemacht, einen Eintrag zu erstellen,
> der so ungefähr aussagt "Ne Liste meiner MailOuts is ja eigentlich
> recht informativ, aber ansonsten soll bloss keiner daraufhin
> irgendwas blocken, denn SPF ist broken by design".
>
> Und dann kommt einer wie du und ballert da +2 drauf. Sogar noch ein
> Punkt mehr als wenn gar kein SPF Record da wäre.
>
> Faszinierend.

warum nicht? Eine positive Authentisierung per SPF ist doch besser als gar keine.

Man muss unterscheiden, welcher Teil des SPF-Records passt: der, welcher ein SPF_PASS generiert oder der *all Teil
Das sind dann unterschiedliche Aussagen in Bezug auf die jeweilige E-Mail.

--
A. Schulze
DATEV eG
Reply | Threaded
Open this post in threaded view
|

AW: SPF reject von Outlook und Hotmail

Daniel-4
In reply to this post by Jens Adam-2
Hi,

Überlegung wäre das Strafpunkte für setzen von SPF aber eben dennoch alles zu erlauben. Und wer es nicht verwendet ebenfalls nen Strafpunkt.

Ich weiß auch nicht wieso SPF so problematisch sein soll, Firmen können doch ganze über einen Server relay'en notfalls auch über einen festen pool.

Wenn jeder z.B. mit @telekom.de senden darf, besteht halt erhöhte Möglichkeit dass halt auch Phising kommt mit solchen Absenden, und man es halt nicht vom Server prüfen kann, eben weil man ja nichts festlegt.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Jens Adam
Gesendet: Montag, 4. Juli 2016 05:10
An: [hidden email]
Betreff: Re: SPF reject von Outlook und Hotmail

Sun, 3 Jul 2016 19:38:03 +0200
"Daniel" <[hidden email]>:

> score SPF_PASS -1
> score SPF_NONE 1
> score SPF_NEUTRAL 2
> score SPF_SOFTFAIL 5
> score SPF_FAIL 8
> [...]

Mich würde ja mal interessieren, welche Überlegung dahinter steckt, für
SPF_NEUTRAL (also "... ?all") positive Punkte zu vergeben.

Da hat sich ein Admin die Mühe gemacht, einen Eintrag zu erstellen,
der so ungefähr aussagt "Ne Liste meiner MailOuts is ja eigentlich
recht informativ, aber ansonsten soll bloss keiner daraufhin
irgendwas blocken, denn SPF ist broken by design".

Und dann kommt einer wie du und ballert da +2 drauf. Sogar noch ein
Punkt mehr als wenn gar kein SPF Record da wäre.

Faszinierend.

--byte

Reply | Threaded
Open this post in threaded view
|

Re: SPF reject von Outlook und Hotmail

Gregor Hermens
Hallo Daniel,

Am Montag, 4. Juli 2016 schrieb Daniel:
> Überlegung wäre das Strafpunkte für setzen von SPF aber eben dennoch alles
> zu erlauben. Und wer es nicht verwendet ebenfalls nen Strafpunkt.
>
> Ich weiß auch nicht wieso SPF so problematisch sein soll, Firmen können
> doch ganze über einen Server relay'en notfalls auch über einen festen
> pool.

SPF hat Probleme mit Weiterleitungen, Mailinglisten, schlecht eingerichteten
Web-Formularen, ...
Wenn also der SPF-Record ausdrücklich sagt "Mails aus dieser Domain können
ggf. auch über andere Hosts transportiert werden" (~all oder ?all), dann ist
es der ausdrückliche Wunsch des Admins dieser Domain, daß das nicht zu
negativen Bewertungen führt. Daran sollte man sich halten.
 
> Wenn jeder z.B. mit @telekom.de senden darf, besteht halt erhöhte
> Möglichkeit dass halt auch Phising kommt mit solchen Absenden, und man es
> halt nicht vom Server prüfen kann, eben weil man ja nichts festlegt.

SPF (alleine) schützt nicht vor Phising: SPF bezieht sich auf den Envelope-
From, der Empfänger sieht normalerweise aber nur den leicht fälschbaren
Header-From. Du benötigst dann schon das ganze Paket aus SPF, DKIM, DMARC und
ADSP, das im Zusammenspiel Phishing massiv erschweren kann.

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|

Re: SPF reject von Outlook und Hotmail

Daniel Gompf
In reply to this post by Daniel-4
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo

Am 04.07.2016 um 11:25 schrieb Daniel:
> Hi,
>
> Überlegung wäre das Strafpunkte für setzen von SPF aber eben
> dennoch alles zu erlauben. Und wer es nicht verwendet ebenfalls nen
> Strafpunkt.
>
> Ich weiß auch nicht wieso SPF so problematisch sein soll, Firmen
> können doch ganze über einen Server relay'en notfalls auch über
> einen festen pool.

Das klassische Beispiel hier ist eine Weiterleitung, stell dir
folgenden Fall vor:
- - du hast einen SPF-Record mit deinem Server und ansonsten -all
- - du sendest eine E-Mail an einen Partner bei Provider A
- - dein Partner hat dort eine Weiterleitung zu Provider B eingerichtet
- - Provider B prüft den SPF-Record und sieht aber Provider A als Relay

Nun kannst du ja Provider A bitten SRS zu aktivieren, sollte dir das
bei allen gelingen, fluchen deine Nutzer weil u.U. Filter nicht mehr
wie erwartet arbeiten.


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJXejWpAAoJENuvw56q5FOiLLwH/30y63GJUS55R1s6WjlvMUS9
A1DumTw+Kkdn4JKaofzHhUGpsJNSqEF+WGGhTEDSebJuH3niiDHtnPxIO5e+0zlR
JaOv+7Zn8wlKlM0pXDjI43YvobSikN8gJ6mzDIKZB4TARQudxkZjPjjQtEVsPhSf
IXdwX9eCx5zuQmjt8N2NKl8MQ+pee7IgJN9XYQBkgoUobTRsA+7MyFwPj8OPjRBQ
oXq9Zwiajjg8ta51jI99vN898VrkUrmRsoQfHH4nOlWng8IXhz8uuy3tQq45xoMN
25lrrbd3pDfRC9DrqPV7cvBwoj7gu4YsaEQY7bKEDB4C3AfFHW0A0SCDFxmttdU=
=xkfT
-----END PGP SIGNATURE-----
Reply | Threaded
Open this post in threaded view
|

Re: AW: SPF reject von Outlook und Hotmail

Christian Boltz
In reply to this post by Daniel-4
Hallo Daniel, hallo zusammen,

Am Montag, 4. Juli 2016, 11:25:55 CEST schrieb Daniel:
> Überlegung wäre das Strafpunkte für setzen von SPF aber eben dennoch
> alles zu erlauben. Und wer es nicht verwendet ebenfalls nen
> Strafpunkt.
>
> Ich weiß auch nicht wieso SPF so problematisch sein soll, Firmen
> können doch ganze über einen Server relay'en notfalls auch über einen
> festen pool.

SPF macht Weiterleitungen kaputt.

Du hast wohl den Aufschrei übersehen, als United Internet (also web.de,
gmx usw.) SPF scharfgeschaltet hat. Siehe dazu.

https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf/
(war auch auf Heise, den Link habe ich aber gerade nicht griffbereit)

> Wenn jeder z.B. mit @telekom.de senden darf, besteht halt erhöhte
> Möglichkeit dass halt auch Phising kommt mit solchen Absenden, und
> man es halt nicht vom Server prüfen kann, eben weil man ja nichts
> festlegt.

Jeder darf Telekom-Mails z. B. an sein Postfach bei web.de schicken
lassen und sie dann auf ein anderes Postfach, z. B. bei gmx,
weiterleiten. Mit harten SPF-Checks wird die Mail dann von gmx
abgewiesen, weil sie nicht _direkt_ vom Telekom-Mailserver stammt.


Ach ja: Ich finde Deine Scores für SPF auch deutlich zu hoch. Ich habe
schon ernsthaft überlegt, alle SPF-Checks auf 0.0001 zu setzen.

BTW: Lustigerweise kommt Spam gern mit SPF_PASS - ich habe schon
ernsthaft überlegt, gültige(!) SPF-Prüfungen mit einem Strafpunkt zu
versehen ;-)


Gruß

Christian Boltz

PS: Keine Zufallssig ;-)
--
Du hast jetzt relativ kompliziert die völlig korrekte Aussage:
"SPF ist krank, funktioniert nicht und vom Ansatz her bereits defekt."
formuliert. [Peer Heinlein in postfixbuch-users]

Reply | Threaded
Open this post in threaded view
|

AW: AW: SPF reject von Outlook und Hotmail

Daniel-4
Hi,

habe es mit gmx mitbekommen.

Für Mailformulare hat man halt eigenen Absender anzugeben, nicht die von dem der es ausfüllt. Kann man auch im Text erwähnen oder
als reply-to setzen. Auch könnte ein Ticketsystem die Mails direkt übernehmen und dann wird Ticket halt entsprechend weitergeleitet
oder zugeordnet. Also Möglichkeiten gibt es da wohl genug. Ich würde nicht auf die Idee kommen Mails mit gmx, telekom, dhl und co
als Absender zu verwenden. Sonst könnte man ebensogut immer Empfänger und Absender gleich setzen statt ne noreply@domain Adresse
anzugeben, wenn keine Antwort erwünscht ist.

Falls dann mal Spam aus RU oder CN ect. kommt, soll SPF auch wirken und nicht nur 0 komma irgendwas, und dann im Posteingang landen.

Daher hab ich ja die Überlegung softfail auf gleichen Wert zusetzen die für Spam flag erforderlich ist, gibt ja auch einfach durch
dnswl und co auch negative Punkte, so dass diese dann auch in Posteingang landen kann und nicht zwingend als Spam ist, dann
entscheiden dann andere Test unter anderem auch bayes.

Richtig lustig wird es wohl, wenn Spam auch signiert bzw. verschlüsselt ankommt, und so diverse Milter wohl vom Inhalt ins leere
laufen.

Ganze ist wohl wie bei Juristen. 2 Juristen, 3 Meinungen.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Christian Boltz
Gesendet: Montag, 4. Juli 2016 12:24
An: [hidden email]
Betreff: Re: AW: SPF reject von Outlook und Hotmail

Hallo Daniel, hallo zusammen,

Am Montag, 4. Juli 2016, 11:25:55 CEST schrieb Daniel:
> Überlegung wäre das Strafpunkte für setzen von SPF aber eben dennoch
> alles zu erlauben. Und wer es nicht verwendet ebenfalls nen
> Strafpunkt.
>
> Ich weiß auch nicht wieso SPF so problematisch sein soll, Firmen
> können doch ganze über einen Server relay'en notfalls auch über einen
> festen pool.

SPF macht Weiterleitungen kaputt.

Du hast wohl den Aufschrei übersehen, als United Internet (also web.de,
gmx usw.) SPF scharfgeschaltet hat. Siehe dazu.

https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf/
(war auch auf Heise, den Link habe ich aber gerade nicht griffbereit)

> Wenn jeder z.B. mit @telekom.de senden darf, besteht halt erhöhte
> Möglichkeit dass halt auch Phising kommt mit solchen Absenden, und
> man es halt nicht vom Server prüfen kann, eben weil man ja nichts
> festlegt.

Jeder darf Telekom-Mails z. B. an sein Postfach bei web.de schicken
lassen und sie dann auf ein anderes Postfach, z. B. bei gmx,
weiterleiten. Mit harten SPF-Checks wird die Mail dann von gmx
abgewiesen, weil sie nicht _direkt_ vom Telekom-Mailserver stammt.


Ach ja: Ich finde Deine Scores für SPF auch deutlich zu hoch. Ich habe
schon ernsthaft überlegt, alle SPF-Checks auf 0.0001 zu setzen.

BTW: Lustigerweise kommt Spam gern mit SPF_PASS - ich habe schon
ernsthaft überlegt, gültige(!) SPF-Prüfungen mit einem Strafpunkt zu
versehen ;-)


Gruß

Christian Boltz

PS: Keine Zufallssig ;-)
--
Du hast jetzt relativ kompliziert die völlig korrekte Aussage:
"SPF ist krank, funktioniert nicht und vom Ansatz her bereits defekt."
formuliert. [Peer Heinlein in postfixbuch-users]


Reply | Threaded
Open this post in threaded view
|

Re: SPF reject von Outlook und Hotmail

Daniel Gompf
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo

Am 04.07.2016 um 12:56 schrieb Daniel:
> Hi,
>
> habe es mit gmx mitbekommen.
Und auch verstanden weshalb die Probleme hatten?

>
> Für Mailformulare hat man halt eigenen Absender anzugeben, nicht
> die von dem der es ausfüllt. Kann man auch im Text erwähnen oder
> als reply-to setzen. Auch könnte ein Ticketsystem die Mails direkt
> übernehmen und dann wird Ticket halt entsprechend weitergeleitet
> oder zugeordnet. Also Möglichkeiten gibt es da wohl genug. Ich
> würde nicht auf die Idee kommen Mails mit gmx, telekom, dhl und co
>  als Absender zu verwenden. Sonst könnte man ebensogut immer
> Empfänger und Absender gleich setzen statt ne noreply@domain
> Adresse anzugeben, wenn keine Antwort erwünscht ist.

Ich habe zwar eine Idee wie du zu dieser Aussage kommst, leider hat
diese nichts mit den vorangegangen Kommentaren zu tun. Lies die bitte
nochmal durch.

>
> Falls dann mal Spam aus RU oder CN ect. kommt, soll SPF auch
> wirken und nicht nur 0 komma irgendwas, und dann im Posteingang
> landen.
>
> Daher hab ich ja die Überlegung softfail auf gleichen Wert
> zusetzen die für Spam flag erforderlich ist, gibt ja auch einfach
> durch dnswl und co auch negative Punkte, so dass diese dann auch
> in Posteingang landen kann und nicht zwingend als Spam ist, dann
> entscheiden dann andere Test unter anderem auch bayes.

Hier hast du schon mal einen Ansatz gefunden SPF ist nur einer von
vielen Bausteinen, für wie wichtig du ihn erachtest liegt bei dir.
Zumal du die E-Mails ja anscheinend trotzdem zustellst, halt nur
markiert oder in einem Ordner, insoweit entlastest du deine Nutzer nicht
.

>
> Richtig lustig wird es wohl, wenn Spam auch signiert bzw.
> verschlüsselt ankommt, und so diverse Milter wohl vom Inhalt ins
> leere laufen.

Signieren schadet der Lesbarkeit der E-Mail nicht, die Inhaltsfilter
können genauso loslegen. Und zum verschlüsseln gehören immer noch 2
und solange die meisten nicht Verschlüsseln (wolllen oder können),
macht sich keiner die Mühe Schlüssel zu besorgen um kleine fiese
E-Mails zu versenden.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJXelreAAoJENuvw56q5FOigfIH/A3lYQ+u+WzATT7HdnP5v+sL
lIuwkZp41DZGyTHbzhT13+WYxaJ1cN4ppsSZXfwJEVrw11Vukpkkx5uXqmpRqYej
sSEWKj75I7h8RjcvlMXM0O0KB4G2J05J4xbMAnc+3+xhTsYfLRPffIDORt4HyE3s
h+tVqSB6E2hyU7LT2q1u2J3Wct0poXBNVltLDZTFUn66QyWRZAtLKKk9OJSanxHK
9aVzu9B8CqW/jBVJeGR7DqFRzoyBOnvWOAamGPbGjvqVdgiekO75HkJ8hdMwGTyo
gZPCkXPCDIZagJ8udJh7MKhjRIJ91mAq8DR4N+6mBvH9RO524CTrit5VzjhHOHI=
=7+3d
-----END PGP SIGNATURE-----
Reply | Threaded
Open this post in threaded view
|

AW: SPF reject von Outlook und Hotmail

Daniel-4
Ich finde besonders bei Online Rechnungen (Telekom, 1&1, ...) oder Nachrichten von Bank und Bezahldiensten sollte SPF wirklich hart
sein, und ggf. über Subdomain wo nur hart SPF ist, und hauptdomain kann ja dann halt softfail oder wie auch immer sein.

So sollte es kein Problem sein wenn halt nen Dienstleister Newsletter oder so rausjagt und ggf. abgewertet wird, aber eben dennoch
zugestellt.

Wenn Kunde meint Emails von Anbieter A zu Anbieter B weiterzuleiten, wäre es einigen Anbieter sogar bestimmt recht wenn es dann
fehlschlägt da man von ausgehen könnte dass das Postfach nicht mehr benutzt wird oder zu wem anders gehen könnte.

Bei normalen Briefen von Banken oder so stehe ja teils auch drauf nicht Nachsenden, und gehen dann zurück, und Rest wird gem.
Nachsendeauftrag eben weitergeleitet.

Zumindest halt für etwas sensibleren Sachen würde ich ganze halt etwas strenger sehen.

Manche Firmen fordern den Kunden ja sogar noch auf deren Absender in Whitelist zusetzen, da wundert mich manche phishing mails
nicht.

Wie du schon sagst, muss man dann wohl teils selbst sehen bzw. bewerten wie man was sieht.

Absolute Sicherheit gibt es eh nie, selbst mit spf,dkim und co. nicht.

Gruß Daniel
-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Daniel Gompf
Gesendet: Montag, 4. Juli 2016 14:47
An: Diskussionen und Support rund um Postfix
Betreff: Re: SPF reject von Outlook und Hotmail

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo

Am 04.07.2016 um 12:56 schrieb Daniel:
> Hi,
>
> habe es mit gmx mitbekommen.
Und auch verstanden weshalb die Probleme hatten?

>
> Für Mailformulare hat man halt eigenen Absender anzugeben, nicht
> die von dem der es ausfüllt. Kann man auch im Text erwähnen oder
> als reply-to setzen. Auch könnte ein Ticketsystem die Mails direkt
> übernehmen und dann wird Ticket halt entsprechend weitergeleitet
> oder zugeordnet. Also Möglichkeiten gibt es da wohl genug. Ich
> würde nicht auf die Idee kommen Mails mit gmx, telekom, dhl und co
>  als Absender zu verwenden. Sonst könnte man ebensogut immer
> Empfänger und Absender gleich setzen statt ne noreply@domain
> Adresse anzugeben, wenn keine Antwort erwünscht ist.

Ich habe zwar eine Idee wie du zu dieser Aussage kommst, leider hat
diese nichts mit den vorangegangen Kommentaren zu tun. Lies die bitte
nochmal durch.

>
> Falls dann mal Spam aus RU oder CN ect. kommt, soll SPF auch
> wirken und nicht nur 0 komma irgendwas, und dann im Posteingang
> landen.
>
> Daher hab ich ja die Überlegung softfail auf gleichen Wert
> zusetzen die für Spam flag erforderlich ist, gibt ja auch einfach
> durch dnswl und co auch negative Punkte, so dass diese dann auch
> in Posteingang landen kann und nicht zwingend als Spam ist, dann
> entscheiden dann andere Test unter anderem auch bayes.

Hier hast du schon mal einen Ansatz gefunden SPF ist nur einer von
vielen Bausteinen, für wie wichtig du ihn erachtest liegt bei dir.
Zumal du die E-Mails ja anscheinend trotzdem zustellst, halt nur
markiert oder in einem Ordner, insoweit entlastest du deine Nutzer nicht
.

>
> Richtig lustig wird es wohl, wenn Spam auch signiert bzw.
> verschlüsselt ankommt, und so diverse Milter wohl vom Inhalt ins
> leere laufen.

Signieren schadet der Lesbarkeit der E-Mail nicht, die Inhaltsfilter
können genauso loslegen. Und zum verschlüsseln gehören immer noch 2
und solange die meisten nicht Verschlüsseln (wolllen oder können),
macht sich keiner die Mühe Schlüssel zu besorgen um kleine fiese
E-Mails zu versenden.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJXelreAAoJENuvw56q5FOigfIH/A3lYQ+u+WzATT7HdnP5v+sL
lIuwkZp41DZGyTHbzhT13+WYxaJ1cN4ppsSZXfwJEVrw11Vukpkkx5uXqmpRqYej
sSEWKj75I7h8RjcvlMXM0O0KB4G2J05J4xbMAnc+3+xhTsYfLRPffIDORt4HyE3s
h+tVqSB6E2hyU7LT2q1u2J3Wct0poXBNVltLDZTFUn66QyWRZAtLKKk9OJSanxHK
9aVzu9B8CqW/jBVJeGR7DqFRzoyBOnvWOAamGPbGjvqVdgiekO75HkJ8hdMwGTyo
gZPCkXPCDIZagJ8udJh7MKhjRIJ91mAq8DR4N+6mBvH9RO524CTrit5VzjhHOHI=
=7+3d
-----END PGP SIGNATURE-----

Reply | Threaded
Open this post in threaded view
|

Re: SPF reject von Outlook und Hotmail

Gregor Hermens
Hallo Daniel,

Am Montag, 4. Juli 2016 schrieb Daniel:
> Ich finde besonders bei Online Rechnungen (Telekom, 1&1, ...) oder
> Nachrichten von Bank und Bezahldiensten sollte SPF wirklich hart sein, und
> ggf. über Subdomain wo nur hart SPF ist, und hauptdomain kann ja dann halt
> softfail oder wie auch immer sein.

der Absender hat keine Kontrolle darüber, ob einer seiner Empfänger eine
Weiterleitung eingerichtet hat. Ein -all würde dann zur Ablehnung führen, was
bei einer Rechnung durchaus problematisch sein kann. Auch hier würde ich als
Absender nichts härteres als ~all setzen wollen. -all ist nur praktikabel,
wenn es nicht wirchig ist, ob Mails ankommen.

Viel wichtiger bei wichtigen Mails wäre DKIM, DMARC und ADSP, womit ich auch
nach Weiterleitungen noch die Absenderdomain authentifizieren und ggf. hart
ablehnen kann.

> Wenn Kunde meint Emails von Anbieter A zu Anbieter B weiterzuleiten, wäre
> es einigen Anbieter sogar bestimmt recht wenn es dann fehlschlägt da man
> von ausgehen könnte dass das Postfach nicht mehr benutzt wird oder zu wem
> anders gehen könnte.

Es gibt genug legitime Gründe für Weiterleitungen. Sei es nur, daß man nicht
so viele unterschiedliche Mailboxen bei ggf. unterschiedlichen Anbietern
unterhalten will, wie man an Projekten beteiligt ist. Wer als Mailhoster keine
funktionierenden Weiterleitungen anbietet verliert Kunden. Und bitte komm mir
nicht mit SRS...

> Bei normalen Briefen von Banken oder so stehe ja teils auch drauf nicht
> Nachsenden, und gehen dann zurück, und Rest wird gem. Nachsendeauftrag
> eben weitergeleitet.
>
> Zumindest halt für etwas sensibleren Sachen würde ich ganze halt etwas
> strenger sehen.

Gerade für sensible Sachen ist SPF alleine ungeeignet, solange du nicht den
kompletten Versandweg unter eigener Kontrolle hast.

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|

Re: SPF reject von Outlook und Hotmail

Andreas Tauscher
In reply to this post by Daniel-4
On 04.07.2016 16:14, Daniel wrote:
> Ich finde besonders bei Online Rechnungen (Telekom, 1&1, ...) oder
> Nachrichten von Bank und Bezahldiensten sollte SPF wirklich hart
> sein, und ggf. über Subdomain wo nur hart SPF ist, und hauptdomain
> kann ja dann halt softfail oder wie auch immer sein.

SPF ist Broken by Design (TM). Unreparierbar kaputt. Setze einen ~all
oder ?all Record. Schadet nicht. Ansonsten: Ignoriere SPF und
verschwende keine Zeit damit. Es ist kaputt. Schau mal wie Spamassassin
das bewertet. Warum wohl?

Dafür gibt es DMARC. Wenn der Absender das nicht verstanden hat: Deren
Problem. Wenn dein Mailhoster damit nicht umgehen kann: Such dir einen
der das kann.

> So sollte es kein Problem sein wenn halt nen Dienstleister Newsletter
> oder so rausjagt und ggf. abgewertet wird, aber eben dennoch
> zugestellt.

Ob einfache Email oder tausende Kopien davon: Richtig gemacht kommt das
an. Immer.
Wenn ich aber mit SPF und DKIM um mich werfe und keine Ahnung habe wie
das funktioniert und was ich da tue: Selber schuld.
Und wenn ich die bounces nicht bekomme und nicht mitbekomme das mein
supder duper lebenswichtiger Newsletter in der Tonne landet weil ich so
einen noreply@ Blödsinn gesetzt habe: Selber schuld.
Und wenn Du wegen nicht behandelter bounces auf eine Blackliste landest
weil Du penetrant Mails an nicht existierende Adressen einkippen willst:
Ganz richtig so!

Wenn ich mir permanent darüber Gedanken machen würde wie ich drumrum
bastle nur weil ein Ignorant minimalst Standards nicht beachtet hätte
ich den ganzen Tag nichts anderes zu tun.
Altbekannte Ignoranten wie EA kommen halt zähneknirschend auf eine
Whitelist. Wenn aber der Honkongramscher dx.com sein Mailsystem
repariert bekommen hat, dann besteht ja für EA noch eine Hauch von Hoffnung.

> Wenn Kunde meint Emails von Anbieter A zu Anbieter B weiterzuleiten,
> wäre es einigen Anbieter sogar bestimmt recht wenn es dann
> fehlschlägt da man von ausgehen könnte dass das Postfach nicht mehr
> benutzt wird oder zu wem anders gehen könnte.

Wenn ich meiner Kundschaft jetzt erkläre das Weiterleitungen nicht mehr
funktionieren, dann habe ich bald jede Menge freier Ressourcen. Soviel
das sich ein Raspberry langweilen wird.
Für einen Freemailer: Je mehr Adressen mit deiner Domain im Umlauf sind
desto besser.
Für einen Hoster: Solange ich für die Mailbox bezahlt werde ist es mir
doch egal was der Kunde mit seinen Mails macht. Wenn der die gleich
weiterleitet ganz gut. Spart Storage und Backupkapazität. Bandbreite ist
billiger.

> Bei normalen Briefen von Banken oder so stehe ja teils auch drauf
> nicht Nachsenden, und gehen dann zurück, und Rest wird gem.
> Nachsendeauftrag eben weitergeleitet.

Das ist einer der kleinen aber feinen Unterschiede zwischen Brief und
Email. Bei Email ist so ein Fall schlicht und ergreifend nicht
vorgesehen und kann auch mit Krankheiten wie SPF nicht nachgebastelt
werden. Wenn ich nicht will das meine Mail nicht weitergeleitet wird,
dann bleibt nur eine Möglichkeit: Nicht verschicken.
Funktioniert auch bei Briefen nur bedingt. Wer sagt denn das die Oma den
nicht weiterschickt?

> Zumindest halt für etwas sensibleren Sachen würde ich ganze halt
> etwas strenger sehen.

Und was ist sensibel? Du als Empfänger kannst das erst mal gar nicht
beurteilen. Wenn etwas sensibel ist, dann liegt die Verantwortung das
zuverlässig und sicher von A nach B zu bekommen beim Absender und nicht
beim Empfänger.
Wenn etwas wirklich sensitiv ist dann hilft nichts anderes als den
Inhalt zu verschlüsseln. Alles andere sichert nur den Transportweg mehr
oder weniger ab.
Ist wie beim Brief: Sobald ich den eingeworfen habe habe ich keinerlei
Kontrolle mehr was damit passiert.

> Manche Firmen fordern den Kunden ja sogar noch auf deren Absender in
> Whitelist zusetzen, da wundert mich manche phishing mails nicht.

Das sind dann die richtigen Experten. Anstatt ihre verkorksten Systeme
zu reparieren dem Empfänger sagen er soll sich doch bitte in den Fuß
schießen. Meist hat dann da ein bekiffter Webdesigner seine Finger dran
gehabt.

Andreas


signature.asc (853 bytes) Download Attachment
12