SPF und DMARC wirklich so schlecht?

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

SPF und DMARC wirklich so schlecht?

Daniel-4
Huhu,

leider setzen manche große Firmen keinen SPF oder DMARC ein, warnen dann aber von wegen mal wieder Betrugemails unterwegs.

Das jeder mit @t-online.de oder @telekom.de Emails versenden kann und darf, ist wohl kein Problem für Telekom.

Laut deren Postmaster Team ist DNSSEC wohl kein Thema, da wird auf https://telekomhilft.telekom.de/t5/Speedport-300er-Serie/Firmware-Updates-f%C3%BCr-DNSSEC/m-p/728030#M1593 und https://telekomhilft.telekom.de/t5/V-DSL-Glasfaser/DNSSEC-authoritativer-Namensserver/td-p/897420#M65089 verwiesen.

Und das ganze wohl "tot" sei auf http://golem.de/1503/112927.

Wegen SPF und DMARC legendlich auf Wikipedia Einträge.

Gruß Daniel

Reply | Threaded
Open this post in threaded view
|

Re: SPF und DMARC wirklich so schlecht?

Max Grobecker
Hallo,

du vermischst da gerade mehrere Dinge:
DKIM + DMARC ist das aktuelle Verfahren das man einsetzen sollte. Der Nachteil daran ist, dass du eben alle deine E-Mails entsprechend signieren musst.
Das ist bei ein paar E-Mails kein Problem und durch zentrale "Signatur-Relays" durchaus umsetzbar - allerdings verschickt die Telekom ja mehr als nur ein paar E-Mails,
da bekommst du durch das Signieren spürbar mehr Last auf den Server.
Allerings ist das kein Grund, es nicht langsam mal einzuführen - man kann ja per DMARC-Policy festlegen dass deine E-Mails ggf. auch keine Signatur tragen.

SPF ist an sich nichts, was man jetzt neu ausrollen sollte. Unterm Strich macht man sich resp. den Absendern unter einer Domain selbst Probleme,
z.B. mit Mailweiterleitungen (denn der weiterleitende Mailserver ist i.d.R. nicht durch SPF authorisiert) oder auch bei manchen Mailinglisten.

DNSSEC hat mit beidem so gar nichts zu tun - das brauchst du nur zwingend dann, wenn du DANE verwenden willst. Das hat mit SPF, DKIM und DMARC aber nichts zu tun, das ist eine andere Baustelle ;-)



Viele Grüße aus dem Tal
Max


signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: SPF und DMARC wirklich so schlecht?

Daniel Gompf
In reply to this post by Daniel-4
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo

Am 02.07.2016 um 11:55 schrieb Daniel:
> Huhu,
>
> leider setzen manche große Firmen keinen SPF oder DMARC ein,
> warnen dann aber von wegen mal wieder Betrugemails unterwegs.

Nun ja am Beispiel dhl.com habe ich das Problem gerade auch, die
wissen im Moment wohl noch gar nicht genau welche Dienstleister in
deren Namen E-Mails versenden, so kollidieren hin und wieder die
SPF-Records mit dem echten Leben.

>
> Das jeder mit @t-online.de oder @telekom.de Emails versenden kann
> und darf, ist wohl kein Problem für Telekom.
>
> Laut deren Postmaster Team ist DNSSEC wohl kein Thema, da wird auf
> https://telekomhilft.telekom.de/t5/Speedport-300er-Serie/Firmware-Upda
tes-f%C3%BCr-DNSSEC/m-p/728030#M1593
>
>
und
> https://telekomhilft.telekom.de/t5/V-DSL-Glasfaser/DNSSEC-authoritativ
er-Namensserver/td-p/897420#M65089
>
>
verwiesen.

Schon etwas alt oder? Wenn die Telekom die BSI TR-03108 Umsetzen will,
kommt sie wohl auch nicht um DNSSEC rum.

>
> Und das ganze wohl "tot" sei auf http://golem.de/1503/112927.

Naja wenn du sicherstellen willst, dass beim Nutzer das ankommt was du
da ins DNS schreibst (oder überhaupt ankommt) musst du den Transfer
schon irgendwie absichern.
Wenn es ein Verfahren für beliebige RRs gibt und das besser -
praktikabler und sicher(er) ist - dann wird sich das schon durchsetzen.
Wie man z.B. Keypinning für PGP-Schlüssel im DNS einsetzen will, ist
mir noch nicht klar.
>
> Wegen SPF und DMARC legendlich auf Wikipedia Einträge.
>
> Gruß Daniel
>

Daniel
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJXeN3qAAoJENuvw56q5FOieHQIAKN7IsOBIqU1iYQYfa/jSoM4
eL38y8jqUv3uzd8U1P7tr6j4QEYbLI/SKTPxRzEgno3J3H1kH67T0FHrqPbG8kJt
VdJbpQXgMXjV/7XkxB1U9k84L6wknazREX15K1ruB3Gd1xfDJRliRwOBTQcDrYi/
herkVVvNqtU+WJAoKU0lg+qFo3ViGaA3jH5qKEjCKk+KbUsftDxw7AjPcYuXofXO
StIHOaPC+7f9JMjoU4hSZs6ndgidVfrDARxCAN27VlFSTLgL2gopU9p+FZZGJ8Wi
gHc8YaMPfmSSZmNXlZdKZfB3oLJV7dcpJTUWmoYe0A2lgdiH4tst3WvL6RiBJbU=
=wh6L
-----END PGP SIGNATURE-----