[postfix-users] SPF checks
Hallo,
ich kontrolliere gerade mal die Konfiguration meines postfix-policyd-spf-python, ob sich da noch was verbessern lässt.
Mir fällt immer wieder auf dass die meisten Domains mit SPF-Records am Ende immer nur ein SoftFail haben (Beispiel paypal.com). Was soll das denn bringen? Wenn ich die Mail nicht abweisen kann, dann brauche ich doch erst gar keinen Check machen.
Nun lässt sich beim Python policyd-spf auch einstellen dass bereits ein SoftFail zur Abweisung führt. Würde das Sinn machen, oder ergeben sich daraus größere Probleme?
Da in letzter Zeit Phishing Mails immer mehr zunehmen, würde ich da gerne etwas restriktiver vorgehen. Ich gehe mal davon aus dass alle sicherheitskritischen Dienste (Paypal, Banken, etc.) SPF verwenden, und man darüber den ganzen Phishing-Müll reduzieren kann.
Falls jemand auch den Python policyd-spf verwendet, wie sieht eure Konfiguration aus?
Am 13.09.2014 um 08:22 schrieb Joachim Fahrner:
Hallo,
ich kontrolliere gerade mal die Konfiguration meines postfix-policyd-spf-python, ob sich da noch was verbessern lässt.
Mir fällt immer wieder auf dass die meisten Domains mit SPF-Records am Ende immer nur ein SoftFail haben (Beispiel paypal.com). Was soll das denn bringen? Wenn ich die Mail nicht abweisen kann, dann brauche ich doch erst gar keinen Check machen.
du hast recht es bringt wenig, SPF check ist was fuer "on top", es hilft ein wenig bei "dummen" botnet attacks ( d.h wenn diese postscreen und greylisting ueberleben. DMARC check sollte besser sein dieser Tage, weil dieser auch DKIM beruecksichtigt
Nun lässt sich beim Python policyd-spf auch einstellen dass bereits ein SoftFail zur Abweisung führt. Würde das Sinn machen, oder ergeben sich daraus größere Probleme?
kann man machen wuerde ich aber nicht empfehlen, bzw nur im Einzelfall ( wenn sich das konfigurieren laesst )
Da in letzter Zeit Phishing Mails immer mehr zunehmen, würde ich da gerne etwas restriktiver vorgehen. Ich gehe mal davon aus dass alle sicherheitskritischen Dienste (Paypal, Banken, etc.) SPF verwenden, und man darüber den ganzen Phishing-Müll reduzieren kann.
wie gesagt ich wuerde eher auf DMARC/DKIM setzen evtl mit SPF ergaenzen
Falls jemand auch den Python policyd-spf verwendet, wie sieht eure Konfiguration aus?
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am Samstag, den 13.09.2014, 08:22 +0200 schrieb Joachim Fahrner:
Mir fällt immer wieder auf dass die meisten Domains mit SPF-Records am Ende immer nur ein SoftFail haben (Beispiel paypal.com). Was soll das denn bringen? Wenn ich die Mail nicht abweisen kann, dann brauche ich doch erst gar keinen Check machen.
Das Problem haben die Macher von policyd-spf wohl auch schon erkannt und dafür eine Option vorgesehen:
Domain Specific Receiver Policy Using this option, a list of domains can be defined for special processing when messages do not Pass SPF. This can be useful for commonly spoofed domains that are not yet publishing SPF records with -all. Specifically, if mail from a domain in this list has a Neutral/Softfail result, it will be rejected (as if it had a Fail result). This option is not supported by RFC 4408, but if needed, it is better to do it on a per-domain basis rather than globally.
participants (2)
-
Joachim Fahrner -
Robert Schetterer