xDSL.at

[divB]

Hallo,

Ich hab nun auch einen SPF Eintrag erstellt möchte aber, bevor ich ihn aktiviere fragen, ob dieser auch gültig ist:

Code: Alles auswählen

@ IN TXT "v=spf1 a a:mailrelay.tugraz.at a:smtp.inode.at a:smtp.eunet.at mx:company.co.at ?all"

Ist dieser SPF Eintrag korrekt?

Verstehe ich das richtig, dass folgende Rechner Mails /für/ meine Domain schicken dürfen? Also kurz gesagt, die angegebenen Rechner dürfen Mails versenden wobei der Absender (From) meine Domaene ist:

- mailrelay.tugraz.at: Wenn ich auf der Uni bin, verschicke ich Mails über diesen Server
- smtp.inode.at, smtp.eunet.at. Falls ich über ISP verwende, gehen die über diese beiden Smarthosts
- alle Server, die als MX meiner Firma angegeben sind (company.co.at) dürfen auch.

Das '?all' bedeutet dass, falls ein anderer Rechner ein Mail verschickt, welches als Absenderadresse meine Domain hat, so behandelt wird, als ob es keinen SPF Eintrag gäbe?

lg,
divB

[al]

Gültig schaut er aus, ob's Sinn macht (a von der eigenen Domain, mx von einer fremden Domain) mußt Du selber wissen.

zum Verifizieren: http://kitterman.com/spf/validate.html

Auch frag ich mich, ob es Sinn macht, alle Provider aufzulisten, wenn Du eh ?all machst... Und für Inode stimmt's IIRC sowieso nicht, weil hinter'm Loadbalancer ganz andere IP-Adressen die Mails wirklich nach außen abgeben, zB

Code: Alles auswählen

Received: from mx.inode.at (mx14.lb01.inode.at [62.99.145.16])
   by hermes.aico.at (Postfix) with ESMTP id 6C5EF12002E;
   Mon, 24 Sep 2007 17:11:49 +0200 (CEST)

Detto eTel:

Code: Alles auswählen

Received: from smtp2.srv.eunet.at (smtp2.srv.eunet.at [193.154.160.116])
   by hermes.aico.at (Postfix) with ESMTP id 684B612002E;
   Mon, 24 Sep 2007 17:17:09 +0200 (CEST)

/al

[divB]

Hmm, das ist schade. Angenommen ich würd '?all' nicht setzen, wie mach ichs dann wenn ich doch mal über den Smarthost meiner Provider verschicke?

[al]

Hmm, das ist schade. Angenommen ich würd '?all' nicht setzen, wie mach ichs dann wenn ich doch mal über den Smarthost meiner Provider verschicke?

Entweder Du machst Auth-SMTP (das wär sowieso das sinnvollste). Oder Du findest die out-mx ranges heraus (ausprobieren, whois, dnswl.org) und trägst sie ein (zB die spf-Einträge von gmx.net oder utanet.at).

Aber nachdem SPF eh nicht den Weg genommen hat, den Meng Wong wollte, tät ich das mit dem ?all nicht so tragisch sehen.

/al

[divB]

D.h. wenn ich mich bei einem Smarthost per Auth-SMTP authentifiziere kontrolliert er nicht die SPF Einträge der Absenderdomain?

Das wäre dann eine Möglichkeit, für inode auf alle Fälle, eTel weiss ich nicht, aber bei AON würds schon nicht gehn da das Teil keine Auth-SMTP unterstützt (Zugriff auf Smarthost nur von eigenen Hosts, dafür kein Auth-SMTP).

Wieso hat SPF nicht den Weg genommen, was gibts für Probleme? Ich find das Konzept eigentlich recht gut....

[medice]

das Problem ist, dass viele die Existenz einfach ignorieren

wieso verwendest du nicht einen mx der für deine domain zuständig ist?

[divB]

Fürs Empfangen tu ich das eh. (nobaq.net IN MX 10 mail.nobaq.net). Aber fürs Senden hab ich noch immer irgendwie ein bisschen Bedenken dass Mails von meinem Server abgelehnt werden und ich mich deswegen "sicherer" fühle, wenn ich über einen Smarthost sende (der sicher immer funktioniert).

Ich hab jetzt eigentlich eh schon den Smarthost weggetan und versende direkt über SMTP und schau mir ein bisschen die Logs an. Dabei kann ich dann gleich den SPF restriktiver machen.

[al]

D.h. wenn ich mich bei einem Smarthost per Auth-SMTP authentifiziere kontrolliert er nicht die SPF Einträge der Absenderdomain?

Auth-SMTP über Deinen (= im SPF eingetragenen) Server.

Natürlich kannst Auth-SMTP auch über Inode machen, aber dann bist eben davon abhängig, deren out-mx zu wissen (und immer aktuell zu halten - zumindest die Ranges eben).

Wieso hat SPF nicht den Weg genommen, was gibts für Probleme?

Naja, nach Wongs Idee sollten wir ja schon seit mindestens einem Jahr -all auf der ganzen Welt haben und jedes fail rejecten...

IMHO ist SPF eine Zusatzinformation: ja client IP und Sender passen zusammen. Sprich in der Konsequenz nimmt man Mails zB gleich an und macht kein Greylisting. Oder vergibt in einem Scoring Gutpunkte (bzw. Schwechtpunkte im Negativfall). Aber so wie gmx.net oder utanet.at ein fail zu rejecten ist immer noch exotisch (und wird's IMHO auch bleiben).

/al

[al]

Aber fürs Senden hab ich noch immer irgendwie ein bisschen Bedenken dass Mails von meinem Server abgelehnt werden und ich mich deswegen "sicherer" fühle, wenn ich über einen Smarthost sende (der sicher immer funktioniert).

Absolut unbegründete Sorge.

Code: Alles auswählen

dnswl:   127.0.6.1 private   low     nobaq.net http://www.dnswl.org/search.pl?s=7548

Matthias hat Dich eingetragen, jetzt mußt Du nur gelegentlich schauen, daß Du auf keiner Blackliste bist. Und Dich halt "anständig" verhalten (kein Backscatter, nicht rfc-ignorant,...).

Mühsam würde es, wenn Du "in schlechter Gesellschaft" bist, sprich Deine Umgebung spammt/stark verseucht ist und dann die Range/das AS zB bei UCEprotect Level 2/3 o.ä. landet. Aber soweit kommt's beim AS1901 dann wohl doch nicht.

/al

[divB]

Danke, das sieht gut aus.

Kennst du eine Seite die alle Blacklists auf einmal durchsucht? Wenn möglich so, dass das ganze mit "wget -O - | grep ..." und cron automatisierbar ist?

Zum Backscatter hätt ich noch ein paar Fragen, leider findet sich recht wenig bis gar nichts im Internet dazu. Also wenn ich das richtig verstanden habe, entsteht der dadurch das Spammer Absenderadressen meiner Domain benutzen die dann nicht zustellbar sind. Kommt das Mail dann nicht an, wird ein Bounce an meine Domain verschickt oder?
Da verstehe ich nicht ganz was /ich/ dagegen tun kann.
Möglichkeit 1: Der Benutzer existiert. Dann bekomme ich eben den Bounce und alles ist in Butter. Ist zwar nervig aber es passiert nichts.
Möglichkeit 2: Der Benutzer existiert nicht. Dann wird die Nachricht doch eingefroren da kein Bounce von einem Bounce erstellt werden soll oder?
Falls du mir dazu noch Details nennen könntest wär das sehr nett!

lg,
divB

[al]

Na in der Art

host -t a 112.11.57.218.zen.spamhaus.org
host -t txt 112.11.57.218.zen.spamhaus.org
host -t a 112.11.57.218.list.dsbl.org
host -t txt 112.11.57.218.list.dsbl.org
host -t a 112.11.57.218.bl.spamcop.net
host -t txt 112.11.57.218.bl.spamcop.net
host -t a 112.11.57.218.ix.dnsbl.manitu.net
host -t txt 112.11.57.218.ix.dnsbl.manitu.net
host -t a 112.11.57.218.dnsbl-1.uceprotect.net
host -t txt 112.11.57.218.dnsbl-1.uceprotect.net

Halt mit Deiner IP und den Blacklisten, die Dich interessieren.

Und zum Backscatter. Spammer fälschen Absender. Wenn jetzt eine Empfängermailadresse nicht existiert und die Mail rejected wird, passiert gar nix. Aber wenn ein MTA die Mail zuerst annimmt und nachher feststellt, er kann sie nicht zustellen, muß er einen Bounce erzeugen. And den gefälschten Absender. Das ist dann Backscatter und dagegen kann nur der MTA was tun, indem er diesen Blödsinn nicht tut.

Und die zweite Art von Backscatter sind Callouts, auch Sender Verification genannt, daß man also, noch während der SMTP session aufbaut und versucht, Mail an den vermeintlichen Absender zuzustellen.

Der Domaininhaber, dessen Domain zur Fälschung mißbraucht wurde, kann dagegen gar nix tun, nur zusehen und sich ärgern. Theoretisch müßte ein -all helfen, praktisch nicht wirklich.

/al

[divB]

Ok, dass heisst für mich, dass Backscatter für /meinen/ MTA nur interessant ist wenn ich nicht sofort feststellen kann, ob der Empfänger korrekt ist und daher die Mail annimmt. Dieses Szenario sollte ja nur auftreten wenn ich relaye oder? Und das tu ich eh nicht. D.h. normalerweise sollte mein MTA sofort rejecten weil er ja sofort weiss ob es den User auf meinem System gibt oder nicht.

Mittlerweile hab ich übrigens meinen SPF Record auf "-all" gesetzt. Nachdem das meine private Domain ist kann ich selbst am besten wissen wovon ich meine Mails wegschicke. Und das ist eben genau mein eigener Mailserver sowie Uni und Firma.

[al]

Es gibt so dumme MTAs, die grundsätzlich erst mal annehmen und dann bouncen (qmail, Exchange in der Default-Einstellung).

Und ich kann Dir berichten, es gibt auf dieser Welt sehr viele von denen...

>kann ich selbst am besten wissen wovon ich meine Mails wegschicke

Ja, das war Meng Wongs Idee. Nur hat er da vergessen, daß es sowas wie Forwards gibt. Und Du solltest das auch nicht vergessen... Stell Dir vor, Du schickst wem bla@fasel eine Mail und der leitet seine Mails an [email protected] weiter...

Sagst mir dann, was rauskommt (mit GMX hab ich's grad probiert)

/al

[divB]

1.) Ok, passt, das ist bei mir nicht so
2.) @Wongs Idee: Das ist doch wohl ein Scherz oder?! Dann ist Wongs Idee ja wirklich a bisserl unbrauchbar
Da sollte ich dann den SPF Eintrag wirklich wieder umsetzen womit ich dann sogleich auch wieder die Sinnhaftigkeit in Frage stellen kann.

Aber GMX z.B. hat ihn ja auch restriktiv auf "-all". Das würd dann ja heissen dass jemand der bei GMX ein Konto hat und an jemand was schickt der seine Mails forwarded Probleme hat...

[al]

SRS ist erfunden, aber wer implementiert's?

Das, was an SPF wertvoll ist, ist die positiv-Info: ja Absender und IP passen zusammen. Und mit der Info kann der Empfänger was anfangen, eben gleich annehmen statt greylisten, Gutpunkte vergeben.

/al