Hallo Liste,
bin ja gerade am tüfteln unseres neuen Setups für unseren neuen Mailserver auf Debian mit postfix, dovecot, amavis und Co.
Macht es überhaupt Sinn DKIM, SPF, DMARC usw einzusetzen?
Im Postfix Buch von Peer Heinlein habe ich gelesen, dass das seiner Meinung nach der falsche Ansatz ist, da sich heute jeder Spammer gültige DNS Einträge, gültige Signaturen usw. konfigurieren kann und es dadurch eigentlich noch leichter wird durch Spamfilter hindurch zu kommen, denn
verfolgt man folgenden Ansatz,
https://blog.sys4.de/amavisd-new-dkim-howto-de.html
dann würde man bei gültigen Absendern ja Viren und Spamprüfungen per Policies für gewisse Absender ausschalten und nur ungültige Absender durch Viren- und Spamfilter jagen.
FAZIT aus meiner Sicht:
1. Abweisen aller Versender (Kunden die uns Aufträge senden) mit ungültigen DKIM, SPF aufgrund schlecht konfigurierter Mailserver wäre fatal. 2. Ausnahme von Viren- und Spamfilter aufgrund von gültigen DKIM, SPF Absendern, die ich mühsam in einer Liste pflegen muss bringt auch nix, da ich natürlich möchte, dass auch Emails unserer Kunden trotz gültiger DKIM, SPF usw. durch alle Spam- und Virenfilter gehen.
* Also was tun? Weist Ihr Versender aufgrund ungültiger Prüfungen dieser Mechanismen ab? (Es sollen ja auch viele Office 365 Mailserver im Hinblick darauf schlecht konfiguriert sein und viel ungültige Prüfung in diese Richtung auslösen)
* Was macht Sinn?
* Oder habe ich generell etwas falsch verstanden?
vg, Andi
Am 02.09.21 um 11:45 schrieb Andreas Wass - Glas Gasperlmair:
Hallo Liste,
bin ja gerade am tüfteln unseres neuen Setups für unseren neuen Mailserver auf Debian mit postfix, dovecot, amavis und Co.
Macht es überhaupt Sinn DKIM, SPF, DMARC usw einzusetzen?
Ohne das brauchst du heut zu Tage erst gar nicht anfangen.
Im Postfix Buch von Peer Heinlein habe ich gelesen, dass das seiner Meinung nach der falsche Ansatz ist, da sich heute jeder Spammer gültige DNS Einträge, gültige Signaturen usw. konfigurieren kann und es dadurch eigentlich noch leichter wird durch Spamfilter hindurch zu kommen, denn
Seufz.....ja auch ein "verifizierter" Sender kann dir Spam senden ( typischerweise kommts von goggle etc ) diese Standards sind gar nicht wirklich gedacht zur Spamabwehr sie wirken da mit wenn es alles gut geht
verfolgt man folgenden Ansatz,
https://blog.sys4.de/amavisd-new-dkim-howto-de.html
dann würde man bei gültigen Absendern ja Viren und Spamprüfungen per Policies für gewisse Absender ausschalten und nur ungültige Absender durch Viren- und Spamfilter jagen.
FAZIT aus meiner Sicht:
- Abweisen aller Versender (Kunden die uns Aufträge senden) mit ungültigen DKIM, SPF aufgrund schlecht konfigurierter Mailserver wäre fatal.
- Ausnahme von Viren- und Spamfilter aufgrund von gültigen DKIM, SPF Absendern, die ich mühsam in einer Liste pflegen muss bringt auch nix, da ich natürlich möchte, dass auch Emails unserer Kunden trotz gültiger DKIM, SPF usw. durch alle Spam- und Virenfilter gehen.
Also was tun? Weist Ihr Versender aufgrund ungültiger Prüfungen dieser Mechanismen ab? (Es sollen ja auch viele Office 365 Mailserver im Hinblick darauf schlecht konfiguriert sein und viel ungültige Prüfung in diese Richtung auslösen)
Was macht Sinn?
Oder habe ich generell etwas falsch verstanden?
vg, Andi
Standards einsetzen, z.B Kunden per Whitelist Policy musst du dir selber ueberlegen
Robert Schetterer wrote:
Am 02.09.21 um 11:45 schrieb Andreas Wass - Glas Gasperlmair:
Hallo Liste,
bin ja gerade am tüfteln unseres neuen Setups für unseren neuen Mailserver auf Debian mit postfix, dovecot, amavis und Co.
Macht es überhaupt Sinn DKIM, SPF, DMARC usw einzusetzen?
Ohne das brauchst du heut zu Tage erst gar nicht anfangen.
Quatsch. DMARC macht Mailinglisten kaputt, und den Rest braucht auch keiner.
Am 02.09.21 um 13:32 schrieb Juergen Dollinger:
Robert Schetterer wrote:
Am 02.09.21 um 11:45 schrieb Andreas Wass - Glas Gasperlmair:
Hallo Liste,
bin ja gerade am tüfteln unseres neuen Setups für unseren neuen Mailserver auf Debian mit postfix, dovecot, amavis und Co.
Macht es überhaupt Sinn DKIM, SPF, DMARC usw einzusetzen?
Ohne das brauchst du heut zu Tage erst gar nicht anfangen.
Quatsch. DMARC macht Mailinglisten kaputt, und den Rest braucht auch keiner.
Ok
sys4.de. 3600 IN TXT "v=spf1 ip4:194.126.158.132 ip4:194.126.158.144 ip6:2001:1578:400:111::7 -all"
was machen wir falsch *g
Robert Schetterer wrote:
Quatsch. DMARC macht Mailinglisten kaputt, und den Rest braucht auch keiner.
Ok
sys4.de. 3600 IN TXT "v=spf1 ip4:194.126.158.132 ip4:194.126.158.144 ip6:2001:1578:400:111::7 -all"
was machen wir falsch *g
Das hab ich nicht gesagt. Ich ignoriers nur und lebe gut damit. Mal sehn ob jemand mit meinem header Probleme hat.
Am 2021-09-02 17:48, schrieb Juergen RS Dollinger:
Robert Schetterer wrote: Das hab ich nicht gesagt. Ich ignoriers nur und lebe gut damit. Mal sehn ob jemand mit meinem header Probleme hat.
Ich nutze das zwar, sehe da für Privatpersonen jedoch keinen Vorteil darin. Was anderes ist es bei Firmen, wie Banken oder Sparkassen, wo es für den Empfänger wichtig wäre ob eine Mail Fake ist oder echt. Aber grad da wird es ja nicht oder falsch eingesetzt. Auf Spam hat es IMHO keinen Effekt.
Jochen
On 02.09.2021 18:29, J. Fahrner wrote:
wo es für den Empfänger wichtig wäre ob eine Mail Fake ist oder echt.
da hilft nur S/MIME ;-) (kein PGP, weil des is wie selbstsigniert, des taugt nur f. die Sicherstellung der Integrität aber keinesfalls der Authentizität ...)
Am 2021-09-02 18:54, schrieb Walter H.:
da hilft nur S/MIME ;-) (kein PGP, weil des is wie selbstsigniert, des taugt nur f. die Sicherstellung der Integrität aber keinesfalls der Authentizität ...)
Bei S/MIME muss ich einer Zertifizierungsstelle vertrauen, da gabs auch schon schwarze Schafe. Sogar Googles Zertifikate waren schon mal gefälscht. Das sicherste wäre, wenn die Institutionen den Fingerprint ihre Signatur auf ihrem Briefpapier veröffentlichen würden, sodass ich die selber checken kann, und nicht irgendwelchen "Türktrust" & Co. vertrauen muss (was wiederum nichtmal ich selbst bestimmen kann, sondern der Hersteller meines Browsers oder Mail-Clients festlegt wem er vertraut). Das ist doch alles nicht ausgegoren.
On 02.09.2021 20:47, J. Fahrner wrote:
Bei S/MIME muss ich einer Zertifizierungsstelle vertrauen
richtig; ohne irgend einem Vertrauen wird es nicht gehen ...
zu erwarten der andere vertraut blind irgendwelchen Signaturen, wird es nicht spielen;
On 02.09.2021 20:47, J. Fahrner wrote:
wenn die Institutionen den Fingerprint ihre Signatur auf ihrem Briefpapier veröffentlichen würden
wenn jeder sein eigenes Briefpapier hat ...
und ist was die Stufe der Prüfung angeht auch nicht sinnvoll; weil zu diesem Zeitpunkt wo Du das manuell prüfst, hat eine Instanz bereits vorher das geprüft und evtl. gar nicht angenommen ...
On 02.09.2021 13:32, Juergen Dollinger wrote:
Robert Schetterer wrote:
Am 02.09.21 um 11:45 schrieb Andreas Wass - Glas Gasperlmair:
Hallo Liste,
bin ja gerade am tüfteln unseres neuen Setups für unseren neuen Mailserver auf Debian mit postfix, dovecot, amavis und Co.
Macht es überhaupt Sinn DKIM, SPF, DMARC usw einzusetzen?
Ohne das brauchst du heut zu Tage erst gar nicht anfangen.
Quatsch. DMARC macht Mailinglisten kaputt, und den Rest braucht auch keiner.
wenn die Listen-Admins unfähig sind - postfix ist eine beispiellose Ausnahme, welche auch S/MIME Signaturen korrekt behandelt - ist sicher weder DKIM, SPF noch DMARC schuld ...
Am 02.09.21 um 11:45 schrieb Andreas Wass - Glas Gasperlmair:
Hallo Liste,
bin ja gerade am tüfteln unseres neuen Setups für unseren neuen Mailserver auf Debian mit postfix, dovecot, amavis und Co.
Macht es überhaupt Sinn DKIM, SPF, DMARC usw einzusetzen?
Im Postfix Buch von Peer Heinlein habe ich gelesen, dass das seiner Meinung nach der falsche Ansatz ist, da sich heute jeder Spammer gültige DNS Einträge, gültige Signaturen usw. konfigurieren kann und es dadurch eigentlich noch leichter wird durch Spamfilter hindurch zu kommen, denn
Bin mir nicht sicher ob es grundsätzlich darum geht Spam zu verhindern. Es geht viel mehr darum, Identitätsmissbrauch zu verhindern. Also ein Absender kann sich nicht mehr als bekannter Kunde von dir ausgeben, da der Kunde SPF und DKIM einsetzt.
verfolgt man folgenden Ansatz,
https://blog.sys4.de/amavisd-new-dkim-howto-de.html
dann würde man bei gültigen Absendern ja Viren und Spamprüfungen per Policies für gewisse Absender ausschalten und nur ungültige Absender durch Viren- und Spamfilter jagen.
FAZIT aus meiner Sicht:
- Abweisen aller Versender (Kunden die uns Aufträge senden) mit
ungültigen DKIM, SPF aufgrund schlecht konfigurierter Mailserver wäre fatal. 2. Ausnahme von Viren- und Spamfilter aufgrund von gültigen DKIM, SPF Absendern, die ich mühsam in einer Liste pflegen muss bringt auch nix, da ich natürlich möchte, dass auch Emails unserer Kunden trotz gültiger DKIM, SPF usw. durch alle Spam- und Virenfilter gehen.
* Also was tun? Weist Ihr Versender aufgrund ungültiger Prüfungen dieser Mechanismen ab? (Es sollen ja auch viele Office 365 Mailserver im Hinblick darauf schlecht konfiguriert sein und viel ungültige Prüfung in diese Richtung auslösen)
Hm... ja da macht amavis einen großen Fehler. Darum lass ich im Moment noch amavis keine Prüfung auf DKIM-Gültigkeit durchführen.
Damit Angestellte trotzdem selber prüfen können, nutze ich zur Zeit das addon für Thunderbird "DKIM Verifier". Eine Prüfung durch Angestellte ist besser, als gar keine Prüfung ;)
* Was macht Sinn?
* Oder habe ich generell etwas falsch verstanden?
vg, Andi
On 02.09.2021 11:45, Andreas Wass - Glas Gasperlmair wrote:
Im Postfix Buch von Peer Heinlein habe ich gelesen, dass das seiner Meinung nach der falsche Ansatz ist, da sich heute jeder Spammer gültige DNS Einträge, gültige Signaturen usw. konfigurieren kann und es dadurch eigentlich noch leichter wird durch Spamfilter hindurch zu kommen, denn
ja, aber das kann er nur, wenn er eine Absender-Domain verwendet, welche er unter seiner Kontrolle hat, oder der schlimmere Fall, einen Mailserver unter seine Kontrolle gebracht hat, und den Mailserver dazu mißbraucht, im Namen der Domain Mails zu senden;
wenn man bei seiner Domain z.B. das im DNS definiert hat ...
"v=spf1 ip4:IPV4ADDR ip6:IPV6ADDR -all"
hat man die Hürde, dass jemand seine Domain f. den SPAM-Versand von Drittservern mißbraucht sehr hoch gelegt;
hat man allerdings sowas im DNS definiert
"v=spf1 include:spf.outlook.com ~all"
kann man es auch gleich bleiben lassen ...
weil so wie SPF bei den Big Playern wie Google, Microsoft und Konsorten im DNS definiert ist, ... ist des ein kompletter Quark; (ganze Datencenter den Mailversand zu erlauben ist nicht im Sinne des Erfinders, und das z.B. auch bei Kunden, welche 365-Kunden sind, und dafür bezahlen zum einem und zum anderen deren Domain dabei in Verwendung ist)
Andi,
Am 02.09.21 um 11:45 schrieb Andreas Wass - Glas Gasperlmair:
Hallo Liste,
bin ja gerade am tüfteln unseres neuen Setups für unseren neuen Mailserver auf Debian mit postfix, dovecot, amavis und Co.
Macht es überhaupt Sinn DKIM, SPF, DMARC usw einzusetzen?
Im Postfix Buch von Peer Heinlein habe ich gelesen, dass das seiner Meinung nach der falsche Ansatz ist, da sich heute jeder Spammer gültige DNS Einträge, gültige Signaturen usw. konfigurieren kann und es dadurch eigentlich noch leichter wird durch Spamfilter hindurch zu kommen, denn
verfolgt man folgenden Ansatz,
https://blog.sys4.de/amavisd-new-dkim-howto-de.html
dann würde man bei gültigen Absendern ja Viren und Spamprüfungen per Policies für gewisse Absender ausschalten und nur ungültige Absender durch Viren- und Spamfilter jagen.
Sender-Authentication, also der Dreiklang aus SPF, DKIM und DMARC ist angekommen, wird genutzt und es wird in absehbarer Zeit verbindlich sein wenn Du E-Mail auf den Plattformen "der Großen" einliefern willst.
Das BSI wird diese drei Technologien in der beauftragten, aber noch zu schaffenden TR01380 verankern und beschreiben wie die Technologien implementiert werden müssen, damit sie TR-konform sind. Die Arbeiten an der TR beginnen dieses Jahr und sollen – aktueller Stand der Planung – Ende Q2/2022 abgeschlossen sein.
In D beabsichtigen die (großen) Provider inbound SPF, DKIM und DMARC zu prüfen. Sie legen dabei Wert darauf, dass vor allem DKIM am Start sein muss, denn IP-basierte Policies nehmen, dank wandernder IPs im Cloud-Alltag, an Bedeutung abnehmen. Setzt also vor allem DKIM und DMARC ein bzw. "ertüchtigt" Eure Plattform entsprechend. Ziel der Großen ist vor allem Massenversender in den Griff zu bekommen. Die Kleinen wollen sich nicht schlechter stellen, wenn DKIM und DMARC nicht am Start sind.
Grüße
p@rick
Am 06.09.21 um 14:24 schrieb Patrick Ben Koetter:
Andi,
Am 02.09.21 um 11:45 schrieb Andreas Wass - Glas Gasperlmair:
Hallo Liste,
bin ja gerade am tüfteln unseres neuen Setups für unseren neuen Mailserver auf Debian mit postfix, dovecot, amavis und Co.
Macht es überhaupt Sinn DKIM, SPF, DMARC usw einzusetzen?
Im Postfix Buch von Peer Heinlein habe ich gelesen, dass das seiner Meinung nach der falsche Ansatz ist, da sich heute jeder Spammer gültige DNS Einträge, gültige Signaturen usw. konfigurieren kann und es dadurch eigentlich noch leichter wird durch Spamfilter hindurch zu kommen, denn
verfolgt man folgenden Ansatz,
https://blog.sys4.de/amavisd-new-dkim-howto-de.html
dann würde man bei gültigen Absendern ja Viren und Spamprüfungen per Policies für gewisse Absender ausschalten und nur ungültige Absender durch Viren- und Spamfilter jagen.
Sender-Authentication, also der Dreiklang aus SPF, DKIM und DMARC ist angekommen, wird genutzt und es wird in absehbarer Zeit verbindlich sein wenn Du E-Mail auf den Plattformen "der Großen" einliefern willst.
Das BSI wird diese drei Technologien in der beauftragten, aber noch zu schaffenden TR01380 verankern und beschreiben wie die Technologien implementiert werden müssen, damit sie TR-konform sind. Die Arbeiten an der TR beginnen dieses Jahr und sollen – aktueller Stand der Planung – Ende Q2/2022 abgeschlossen sein.
In D beabsichtigen die (großen) Provider inbound SPF, DKIM und DMARC zu prüfen. Sie legen dabei Wert darauf, dass vor allem DKIM am Start sein muss, denn IP-basierte Policies nehmen, dank wandernder IPs im Cloud-Alltag, an Bedeutung abnehmen. Setzt also vor allem DKIM und DMARC ein bzw. "ertüchtigt" Eure Plattform entsprechend. Ziel der Großen ist vor allem Massenversender in den Griff zu bekommen. Die Kleinen wollen sich nicht schlechter stellen, wenn DKIM und DMARC nicht am Start sind.
Grüße
p@rick
-- [*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein
Danke und Amen *g
Vielen Dank für die rege Diskussion, ihr habt mir mit euren Meinungen sehr geholfen.
Ich für meinen Teil werde DKIM, SPF und DMARC konfigurieren, damit wir für die Zukunft möglichst "regelkonform" sind. Für etwaige Policies aufgrund diverser Auswertungen dieser Mechanismen werde ich mir noch überlegen, was für uns Sinn machen würde.
vg, Andi
Am 06.09.2021 um 17:17 schrieb Robert Schetterer:
Am 06.09.21 um 14:24 schrieb Patrick Ben Koetter:
Andi,
Am 02.09.21 um 11:45 schrieb Andreas Wass - Glas Gasperlmair:
Hallo Liste,
bin ja gerade am tüfteln unseres neuen Setups für unseren neuen Mailserver auf Debian mit postfix, dovecot, amavis und Co.
Macht es überhaupt Sinn DKIM, SPF, DMARC usw einzusetzen?
Im Postfix Buch von Peer Heinlein habe ich gelesen, dass das seiner Meinung nach der falsche Ansatz ist, da sich heute jeder Spammer gültige DNS Einträge, gültige Signaturen usw. konfigurieren kann und es dadurch eigentlich noch leichter wird durch Spamfilter hindurch zu kommen, denn
verfolgt man folgenden Ansatz,
https://blog.sys4.de/amavisd-new-dkim-howto-de.html
dann würde man bei gültigen Absendern ja Viren und Spamprüfungen per Policies für gewisse Absender ausschalten und nur ungültige Absender durch Viren- und Spamfilter jagen.
Sender-Authentication, also der Dreiklang aus SPF, DKIM und DMARC ist angekommen, wird genutzt und es wird in absehbarer Zeit verbindlich sein wenn Du E-Mail auf den Plattformen "der Großen" einliefern willst.
Das BSI wird diese drei Technologien in der beauftragten, aber noch zu schaffenden TR01380 verankern und beschreiben wie die Technologien implementiert werden müssen, damit sie TR-konform sind. Die Arbeiten an der TR beginnen dieses Jahr und sollen – aktueller Stand der Planung – Ende Q2/2022 abgeschlossen sein.
In D beabsichtigen die (großen) Provider inbound SPF, DKIM und DMARC zu prüfen. Sie legen dabei Wert darauf, dass vor allem DKIM am Start sein muss, denn IP-basierte Policies nehmen, dank wandernder IPs im Cloud-Alltag, an Bedeutung abnehmen. Setzt also vor allem DKIM und DMARC ein bzw. "ertüchtigt" Eure Plattform entsprechend. Ziel der Großen ist vor allem Massenversender in den Griff zu bekommen. Die Kleinen wollen sich nicht schlechter stellen, wenn DKIM und DMARC nicht am Start sind.
Grüße
p@rick
-- [*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein
Danke und Amen *g
participants (8)
-
Andreas Wass - Glas Gasperlmair -
Denny Hanschke (Postmaster) -
J. Fahrner -
Juergen Dollinger -
Juergen RS Dollinger -
Patrick Ben Koetter -
Robert Schetterer
-
Walter H.