Korrektheit eines SPF Eintrags

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Korrektheit eines SPF Eintrags

Beitragvon divB » Mo 24 Sep, 2007 14:59

Hallo,

Ich hab nun auch einen SPF Eintrag erstellt möchte aber, bevor ich ihn aktiviere fragen, ob dieser auch gültig ist:

Code: Alles auswählen
@ IN TXT "v=spf1 a a:mailrelay.tugraz.at a:smtp.inode.at a:smtp.eunet.at mx:company.co.at ?all"


Ist dieser SPF Eintrag korrekt?

Verstehe ich das richtig, dass folgende Rechner Mails /fĂĽr/ meine Domain schicken dĂĽrfen? Also kurz gesagt, die angegebenen Rechner dĂĽrfen Mails versenden wobei der Absender (From) meine Domaene ist:

- mailrelay.tugraz.at: Wenn ich auf der Uni bin, verschicke ich Mails ĂĽber diesen Server
- smtp.inode.at, smtp.eunet.at. Falls ich ĂĽber ISP verwende, gehen die ĂĽber diese beiden Smarthosts
- alle Server, die als MX meiner Firma angegeben sind (company.co.at) dĂĽrfen auch.

Das '?all' bedeutet dass, falls ein anderer Rechner ein Mail verschickt, welches als Absenderadresse meine Domain hat, so behandelt wird, als ob es keinen SPF Eintrag gäbe?

lg,
divB
divB
Board-Mitglied
Board-Mitglied
 
Beiträge: 208
Registriert: Do 23 Aug, 2007 13:24

Re: Korrektheit eines SPF Eintrags

Beitragvon al » Mo 24 Sep, 2007 16:11

GĂĽltig schaut er aus, ob's Sinn macht (a von der eigenen Domain, mx von einer fremden Domain) muĂźt Du selber wissen.

zum Verifizieren: http://kitterman.com/spf/validate.html

Auch frag ich mich, ob es Sinn macht, alle Provider aufzulisten, wenn Du eh ?all machst... Und fĂĽr Inode stimmt's IIRC sowieso nicht, weil hinter'm Loadbalancer ganz andere IP-Adressen die Mails wirklich nach auĂźen abgeben, zB
Code: Alles auswählen
Received: from mx.inode.at (mx14.lb01.inode.at [62.99.145.16])
   by hermes.aico.at (Postfix) with ESMTP id 6C5EF12002E;
   Mon, 24 Sep 2007 17:11:49 +0200 (CEST)


Detto eTel:
Code: Alles auswählen
Received: from smtp2.srv.eunet.at (smtp2.srv.eunet.at [193.154.160.116])
   by hermes.aico.at (Postfix) with ESMTP id 684B612002E;
   Mon, 24 Sep 2007 17:17:09 +0200 (CEST)


/al
Wer entbĂĽndelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon divB » Di 25 Sep, 2007 00:47

Hmm, das ist schade. Angenommen ich wĂĽrd '?all' nicht setzen, wie mach ichs dann wenn ich doch mal ĂĽber den Smarthost meiner Provider verschicke?
divB
Board-Mitglied
Board-Mitglied
 
Beiträge: 208
Registriert: Do 23 Aug, 2007 13:24

Beitragvon al » Di 25 Sep, 2007 08:55

divB hat geschrieben:Hmm, das ist schade. Angenommen ich wĂĽrd '?all' nicht setzen, wie mach ichs dann wenn ich doch mal ĂĽber den Smarthost meiner Provider verschicke?

Entweder Du machst Auth-SMTP (das wär sowieso das sinnvollste). Oder Du findest die out-mx ranges heraus (ausprobieren, whois, dnswl.org) und trägst sie ein (zB die spf-Einträge von gmx.net oder utanet.at).

Aber nachdem SPF eh nicht den Weg genommen hat, den Meng Wong wollte, tät ich das mit dem ?all nicht so tragisch sehen.

/al
Wer entbĂĽndelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon divB » Di 25 Sep, 2007 11:08

D.h. wenn ich mich bei einem Smarthost per Auth-SMTP authentifiziere kontrolliert er nicht die SPF Einträge der Absenderdomain?

Das wäre dann eine Möglichkeit, für inode auf alle Fälle, eTel weiss ich nicht, aber bei AON würds schon nicht gehn da das Teil keine Auth-SMTP unterstützt (Zugriff auf Smarthost nur von eigenen Hosts, dafür kein Auth-SMTP).

Wieso hat SPF nicht den Weg genommen, was gibts fĂĽr Probleme? Ich find das Konzept eigentlich recht gut....
divB
Board-Mitglied
Board-Mitglied
 
Beiträge: 208
Registriert: Do 23 Aug, 2007 13:24

Beitragvon medice » Di 25 Sep, 2007 13:56

das Problem ist, dass viele die Existenz einfach ignorieren ;)

wieso verwendest du nicht einen mx der für deine domain zuständig ist?
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon divB » Di 25 Sep, 2007 21:12

FĂĽrs Empfangen tu ich das eh. (nobaq.net IN MX 10 mail.nobaq.net). Aber fĂĽrs Senden hab ich noch immer irgendwie ein bisschen Bedenken dass Mails von meinem Server abgelehnt werden und ich mich deswegen "sicherer" fĂĽhle, wenn ich ĂĽber einen Smarthost sende (der sicher immer funktioniert).

Ich hab jetzt eigentlich eh schon den Smarthost weggetan und versende direkt ĂĽber SMTP und schau mir ein bisschen die Logs an. Dabei kann ich dann gleich den SPF restriktiver machen.
divB
Board-Mitglied
Board-Mitglied
 
Beiträge: 208
Registriert: Do 23 Aug, 2007 13:24

Beitragvon al » Mi 26 Sep, 2007 06:26

divB hat geschrieben:D.h. wenn ich mich bei einem Smarthost per Auth-SMTP authentifiziere kontrolliert er nicht die SPF Einträge der Absenderdomain?

Auth-SMTP ĂĽber Deinen (= im SPF eingetragenen) Server.

Natürlich kannst Auth-SMTP auch über Inode machen, aber dann bist eben davon abhängig, deren out-mx zu wissen (und immer aktuell zu halten - zumindest die Ranges eben).

Wieso hat SPF nicht den Weg genommen, was gibts fĂĽr Probleme?

Naja, nach Wongs Idee sollten wir ja schon seit mindestens einem Jahr -all auf der ganzen Welt haben und jedes fail rejecten... ;)

IMHO ist SPF eine Zusatzinformation: ja client IP und Sender passen zusammen. Sprich in der Konsequenz nimmt man Mails zB gleich an und macht kein Greylisting. Oder vergibt in einem Scoring Gutpunkte (bzw. Schwechtpunkte im Negativfall). Aber so wie gmx.net oder utanet.at ein fail zu rejecten ist immer noch exotisch (und wird's IMHO auch bleiben).

/al
Wer entbĂĽndelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon al » Mi 26 Sep, 2007 06:36

divB hat geschrieben:Aber fĂĽrs Senden hab ich noch immer irgendwie ein bisschen Bedenken dass Mails von meinem Server abgelehnt werden und ich mich deswegen "sicherer" fĂĽhle, wenn ich ĂĽber einen Smarthost sende (der sicher immer funktioniert).


Absolut unbegrĂĽndete Sorge.

Code: Alles auswählen
dnswl:   127.0.6.1 private   low     nobaq.net http://www.dnswl.org/search.pl?s=7548

Matthias hat Dich eingetragen, jetzt mußt Du nur gelegentlich schauen, daß Du auf keiner Blackliste bist. Und Dich halt "anständig" verhalten (kein Backscatter, nicht rfc-ignorant,...).

Mühsam würde es, wenn Du "in schlechter Gesellschaft" bist, sprich Deine Umgebung spammt/stark verseucht ist und dann die Range/das AS zB bei UCEprotect Level 2/3 o.ä. landet. Aber soweit kommt's beim AS1901 dann wohl doch nicht.

/al
Wer entbĂĽndelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon divB » Fr 28 Sep, 2007 15:28

Danke, das sieht gut aus.

Kennst du eine Seite die alle Blacklists auf einmal durchsucht? Wenn möglich so, dass das ganze mit "wget -O - | grep ..." und cron automatisierbar ist?

Zum Backscatter hätt ich noch ein paar Fragen, leider findet sich recht wenig bis gar nichts im Internet dazu. Also wenn ich das richtig verstanden habe, entsteht der dadurch das Spammer Absenderadressen meiner Domain benutzen die dann nicht zustellbar sind. Kommt das Mail dann nicht an, wird ein Bounce an meine Domain verschickt oder?
Da verstehe ich nicht ganz was /ich/ dagegen tun kann.
Möglichkeit 1: Der Benutzer existiert. Dann bekomme ich eben den Bounce und alles ist in Butter. Ist zwar nervig aber es passiert nichts.
Möglichkeit 2: Der Benutzer existiert nicht. Dann wird die Nachricht doch eingefroren da kein Bounce von einem Bounce erstellt werden soll oder?
Falls du mir dazu noch Details nennen könntest wär das sehr nett!

lg,
divB
divB
Board-Mitglied
Board-Mitglied
 
Beiträge: 208
Registriert: Do 23 Aug, 2007 13:24

Beitragvon al » Fr 28 Sep, 2007 16:08

Na in der Art

host -t a 112.11.57.218.zen.spamhaus.org
host -t txt 112.11.57.218.zen.spamhaus.org
host -t a 112.11.57.218.list.dsbl.org
host -t txt 112.11.57.218.list.dsbl.org
host -t a 112.11.57.218.bl.spamcop.net
host -t txt 112.11.57.218.bl.spamcop.net
host -t a 112.11.57.218.ix.dnsbl.manitu.net
host -t txt 112.11.57.218.ix.dnsbl.manitu.net
host -t a 112.11.57.218.dnsbl-1.uceprotect.net
host -t txt 112.11.57.218.dnsbl-1.uceprotect.net

Halt mit Deiner IP und den Blacklisten, die Dich interessieren.

Und zum Backscatter. Spammer fälschen Absender. Wenn jetzt eine Empfängermailadresse nicht existiert und die Mail rejected wird, passiert gar nix. Aber wenn ein MTA die Mail zuerst annimmt und nachher feststellt, er kann sie nicht zustellen, muß er einen Bounce erzeugen. And den gefälschten Absender. Das ist dann Backscatter und dagegen kann nur der MTA was tun, indem er diesen Blödsinn nicht tut.

Und die zweite Art von Backscatter sind Callouts, auch Sender Verification genannt, daß man also, noch während der SMTP session aufbaut und versucht, Mail an den vermeintlichen Absender zuzustellen.

Der Domaininhaber, dessen Domain zur Fälschung mißbraucht wurde, kann dagegen gar nix tun, nur zusehen und sich ärgern. Theoretisch müßte ein -all helfen, praktisch nicht wirklich.

/al
Wer entbĂĽndelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon divB » Fr 28 Sep, 2007 16:15

Ok, dass heisst für mich, dass Backscatter für /meinen/ MTA nur interessant ist wenn ich nicht sofort feststellen kann, ob der Empfänger korrekt ist und daher die Mail annimmt. Dieses Szenario sollte ja nur auftreten wenn ich relaye oder? Und das tu ich eh nicht. D.h. normalerweise sollte mein MTA sofort rejecten weil er ja sofort weiss ob es den User auf meinem System gibt oder nicht.

Mittlerweile hab ich ĂĽbrigens meinen SPF Record auf "-all" gesetzt. Nachdem das meine private Domain ist kann ich selbst am besten wissen wovon ich meine Mails wegschicke. Und das ist eben genau mein eigener Mailserver sowie Uni und Firma.
divB
Board-Mitglied
Board-Mitglied
 
Beiträge: 208
Registriert: Do 23 Aug, 2007 13:24

Beitragvon al » Fr 28 Sep, 2007 20:50

Es gibt so dumme MTAs, die grundsätzlich erst mal annehmen und dann bouncen (qmail, Exchange in der Default-Einstellung).

Und ich kann Dir berichten, es gibt auf dieser Welt sehr viele von denen...

>kann ich selbst am besten wissen wovon ich meine Mails wegschicke

Ja, das war Meng Wongs Idee. Nur hat er da vergessen, daĂź es sowas wie Forwards gibt. Und Du solltest das auch nicht vergessen... ;) Stell Dir vor, Du schickst wem bla@fasel eine Mail und der leitet seine Mails an [email protected] weiter...

Sagst mir dann, was rauskommt (mit GMX hab ich's grad probiert) ;)

/al
Wer entbĂĽndelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon divB » Fr 28 Sep, 2007 21:04

1.) Ok, passt, das ist bei mir nicht so :-)
2.) @Wongs Idee: Das ist doch wohl ein Scherz oder?! Dann ist Wongs Idee ja wirklich a bisserl unbrauchbar :-(
Da sollte ich dann den SPF Eintrag wirklich wieder umsetzen womit ich dann sogleich auch wieder die Sinnhaftigkeit in Frage stellen kann.

Aber GMX z.B. hat ihn ja auch restriktiv auf "-all". Das wĂĽrd dann ja heissen dass jemand der bei GMX ein Konto hat und an jemand was schickt der seine Mails forwarded Probleme hat...
divB
Board-Mitglied
Board-Mitglied
 
Beiträge: 208
Registriert: Do 23 Aug, 2007 13:24

Beitragvon al » Sa 29 Sep, 2007 06:22

SRS ist erfunden, aber wer implementiert's?

Das, was an SPF wertvoll ist, ist die positiv-Info: ja Absender und IP passen zusammen. Und mit der Info kann der Empfänger was anfangen, eben gleich annehmen statt greylisten, Gutpunkte vergeben.

/al
Wer entbĂĽndelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei


ZurĂĽck zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 52 Gäste