[postfix-users] Re-2: SPF checks
Guten Morgen :-)
DMARC check sollte besser sein dieser Tage, weil dieser auch DKIM beruecksichtigt
DMARC habe ich bis jetzt nicht eingesetzt da mir der Sinn nicht einleuchtet. Beispiel aus der realen Erfahrung: Kunde klickt eine Fakerechnung an und installiert sich eine Schadsoftware. Schadsoftware nutzt das E-Mailprogramm vom Kunden um Spams usw. zu verschicken. Somit kommen diese Mails über den Web/Mailserver (also Kundenaccount) zu den ausgehenden Mailgateways und es kann bei den ausgehenden Mailgateways vorkommen dass ein paar dieser Mails rausgehen weil die sich ja als normale E-Mails tarnen. Wo ist nun der Vorteil von DKIM? Habe das mit dem DKIM echt nocht nicht verstanden deswegen mache ich nur SPF Checks. ... :-)
LG JO!
Am 13.09.2014 um 09:50 schrieb Joachim Burbach:
Guten Morgen :-)
DMARC check sollte besser sein dieser Tage, weil dieser auch DKIM beruecksichtigt
DMARC habe ich bis jetzt nicht eingesetzt da mir der Sinn nicht einleuchtet. Beispiel aus der realen Erfahrung: Kunde klickt eine Fakerechnung an und installiert sich eine Schadsoftware. Schadsoftware nutzt das E-Mailprogramm vom Kunden um Spams usw. zu verschicken. Somit kommen diese Mails über den Web/Mailserver (also Kundenaccount) zu den ausgehenden Mailgateways und es kann bei den ausgehenden Mailgateways vorkommen dass ein paar dieser Mails rausgehen weil die sich ja als normale E-Mails tarnen. Wo ist nun der Vorteil von DKIM? Habe das mit dem DKIM echt nocht nicht verstanden deswegen mache ich nur SPF Checks. ... :-)
LG JO!
das Ganze hat schlichtweg erstmal nichts mit SPAM Erkennung zu tun, auch wenn es so hi und da beworben wird.
bitte mal lesen
https://sys4.de/de/blog/2013/04/15/dmarc-standard-um-missbrauch-von-mailadre...
SPF/DMARC/DKIM nutzen nur "indirekt" bei der Spamabwehr, sie verhindern im "guenstigsten" Fall die "Faelschung" von Absender Adressen, was logischerweise auch in einigen Faellen die Einlieferung von SPAM verhindern kann.
Was SPAM ist oder nicht ist ist am Ende eine Entscheidung die der Empfaenger an Hand des Inhalts einer Mail selbst treffen muss und im "guenstigsten" Fall selbst beeinflussen kann.
Sorry dass das jetzt "sehr allgemein formuliert" ist, aber die Details kann man ja im Netz nachlesen, das sprengt schlichtweg den Support einer Mail Liste und ist auch nicht ausschliesslich ein Thema von und mit postfix.
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Zitat von Robert Schetterer rs@sys4.de:
Am 13.09.2014 um 09:50 schrieb Joachim Burbach:
Guten Morgen :-)
DMARC check sollte besser sein dieser Tage, weil dieser auch DKIM beruecksichtigt
DMARC habe ich bis jetzt nicht eingesetzt da mir der Sinn nicht einleuchtet. Beispiel aus der realen Erfahrung: Kunde klickt eine Fakerechnung an und installiert sich eine Schadsoftware. Schadsoftware nutzt das E-Mailprogramm vom Kunden um Spams usw. zu verschicken. Somit kommen diese Mails über den Web/Mailserver (also Kundenaccount) zu den ausgehenden Mailgateways und es kann bei den ausgehenden Mailgateways vorkommen dass ein paar dieser Mails rausgehen weil die sich ja als normale E-Mails tarnen. Wo ist nun der Vorteil von DKIM? Habe das mit dem DKIM echt nocht nicht verstanden deswegen mache ich nur SPF Checks. ... :-)
LG JO!
das Ganze hat schlichtweg erstmal nichts mit SPAM Erkennung zu tun, auch wenn es so hi und da beworben wird.
bitte mal lesen
https://sys4.de/de/blog/2013/04/15/dmarc-standard-um-missbrauch-von-mailadre...
SPF/DMARC/DKIM nutzen nur "indirekt" bei der Spamabwehr, sie verhindern im "guenstigsten" Fall die "Faelschung" von Absender Adressen, was logischerweise auch in einigen Faellen die Einlieferung von SPAM verhindern kann.
Ein wenig "S/MIME light" in meinen Augen. Leider wird es immer wieder als Spam-Bremse beworben was dann soweit führt das Domains ohne SPF Records als verdächtig gelten.
Gruß
Andi
Am Samstag, den 13.09.2014, 18:10 +0200 schrieb lst_hoe02@kwsoft.de:
SPF/DMARC/DKIM nutzen nur "indirekt" bei der Spamabwehr, sie verhindern im "guenstigsten" Fall die "Faelschung" von Absender Adressen, was logischerweise auch in einigen Faellen die Einlieferung von SPAM verhindern kann.
Ein wenig "S/MIME light" in meinen Augen. Leider wird es immer wieder als Spam-Bremse beworben was dann soweit führt das Domains ohne SPF Records als verdächtig gelten.
Ich hab mir mal das DKIM durchgelesen und sehe das ähnlich wie Andi, nämlich als ein "S/MIME light". Der Vorteil erschliesst sich mir nicht. Im Gegensatz zu S/MIME sehe ich bei DKIM im MUA nicht ob eine Mail eine gültige Signatur hat. Zudem kann ich nicht festellen ob eine Domain überhaupt mit DKIM arbeitet (z.B. paypal.com), da ich für die DNS-Abfrage einen Selektor benötige, den ich nicht kenne ohne zuvor eine Mail von der Domain erhalten zu haben. Für mich wäre es aber interressant zu wissen, ob meine Bank mit DKIM signiert oder nicht.
Zur Spamabwehr taugt DKIM nicht, da heutzutage der Absender bei Spam selten verschleiert wird. Interressanter wäre es bei Phishing, aber dazu müsste ich wissen ob meine Partner (Paypal, Bank, etc.) ihre Mails auch mit DKIM signieren, denn nur dann kann ich mich drauf verlassen. Im MUA sehe ich das ja nicht. Da ist mir S/MIME sympathischer, denn da sehe ich das im MUA.
Zudem scheint DKIM auch nichts anderes als SPF zu sein, außer dass noch verifiziert werden kann ob die Mail unterwegs verändert wurde. Für das was DKIM leistet scheint mir auch SPF ausreichend zu sein, zudem ist SPF transparenter für mich, da ich leichter feststellen kann ob eine Domain das hat oder nicht.
Wo ist also der Nutzen von DKIM?
Am 14.09.2014 um 09:04 schrieb Joachim Fahrner:
Am Samstag, den 13.09.2014, 18:10 +0200 schrieb lst_hoe02@kwsoft.de:
SPF/DMARC/DKIM nutzen nur "indirekt" bei der Spamabwehr, sie verhindern im "guenstigsten" Fall die "Faelschung" von Absender Adressen, was logischerweise auch in einigen Faellen die Einlieferung von SPAM verhindern kann.
Ein wenig "S/MIME light" in meinen Augen.
Ich will keine Erbsenzaehlen , aber ich teile dies Meinung nicht DKIM ist ein Identifikationsprotokoll, smime ein ist ein Standard für die Verschlüsselung ( der zur Zeit nur sinnvoll in Zusammenarbeit mit einer Zertifizierungsstelle anwendbar und meist kostenpflichtig ist, die Sicherheit von Zertifizierungsstellen ist nicht unbedingt gewaehrleistet, es wird ein Mailprogramm benoetigt das smime unterstuetzt ) , zusaetzlich benoetigt DKIM nur das DNS ( ist im Normalfall umsonst und wenn DNSSEC verwendet wird auch sicher, wobei DNSSEC aber nicht zwingend ist ) und hat nicht die Schwaechen von SPF ( bricht evtl Forwarding ) Dass beide Loesungen sich evtl in Teilgebieten ueberschneiden rechtfertigt kaum die Bezeichnung "light".
Zukuenftig wird man wohl Smime Zertifikate auch ueber das DNS ausliefern koennen
https://tools.ietf.org/html/draft-ietf-dane-smime-07
Man muss aber alle Loesungen immer in ihrem zeitlichen Kontext sehen. und alle haben/hatten eine Existenzberechtigung.
Leider wird es immer wieder
als Spam-Bremse beworben was dann soweit führt das Domains ohne SPF Records als verdächtig gelten.
SPF wurde von Microsoft gepushed, es war schon am Anfang klar dass es damit Probleme geben wird. Warum grosse Freemailer es noch zur Klassifizierung heranziehen entzieht sich meiner Kenntnis, vermutlich aus Hilflosigkeit oder aus der Philosophie heraus jeder zusaetzliche Klassifizierungs Parameter sei hilfreich.
Ich hab mir mal das DKIM durchgelesen und sehe das ähnlich wie Andi, nämlich als ein "S/MIME light". Der Vorteil erschliesst sich mir nicht. Im Gegensatz zu S/MIME sehe ich bei DKIM im MUA nicht ob eine Mail eine gültige Signatur hat.
schau in den header , und oder z.b
https://sys4.de/de/blog/2013/11/14/thunderbird-add-dkim-verifier/
Zudem kann ich nicht festellen ob eine Domain
überhaupt mit DKIM arbeitet (z.B. paypal.com), da ich für die DNS-Abfrage einen Selektor benötige, den ich nicht kenne ohne zuvor eine Mail von der Domain erhalten zu haben. Für mich wäre es aber interressant zu wissen, ob meine Bank mit DKIM signiert oder nicht.
Zunaechst koenntest du deine Bank ja fragen, ansonsten kann sich der der key oder selector Name ja nahezu beliebig oft aendern, enscheident ist dass das Identifikationsprotokoll funktioniert.
Zur Spamabwehr taugt DKIM nicht, da heutzutage der Absender bei Spam selten verschleiert wird.
Sorry deine Einschaetzung ist subjektiv, was auf deine Domains zutrifft gilt nicht allgemein.
Interressanter wäre es bei Phishing, aber dazu
müsste ich wissen ob meine Partner (Paypal, Bank, etc.) ihre Mails auch mit DKIM signieren, denn nur dann kann ich mich drauf verlassen. Im MUA sehe ich das ja nicht. Da ist mir S/MIME sympathischer, denn da sehe ich das im MUA.
Sympathie ist eine "menschliche" Groesse, ich wuerde sagen der Vergleich an sich "hinkt", Aepfel und Birnen usw
Zudem scheint DKIM auch nichts anderes als SPF zu sein, außer dass noch verifiziert werden kann ob die Mail unterwegs verändert wurde. Für das was DKIM leistet scheint mir auch SPF ausreichend zu sein,
Def ist das nicht so
zudem ist SPF
transparenter für mich, da ich leichter feststellen kann ob eine Domain das hat oder nicht.
SPF ist nach meiner letzen Umfrage bei Spamassassin schon fast ein positiver Trigger fuer SPAM Versender, Dkim hat viel weitreichender Moeglichkeiten, z.B div Keys fuer div Mailadressen
Wo ist also der Nutzen von DKIM?
wenn etwas im Prinzip ueberfluessig ist , ist es eher SPF ansonsten sind DKIM und smime verschiedene Dinge
Das es da Ueberlappungen "beim/fuer" Endverbraucher geben mag, klassifiziert keiner der beiden Anwendungen als ueberfluessig
wenn du den Unterschied genau wissen willst dann lies dir die RFCs dazu durch
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am Sonntag, den 14.09.2014, 10:45 +0200 schrieb Robert Schetterer:
smime ein ist ein Standard für die Verschlüsselung
Nein, auch zum signieren.
( der zur Zeit nur sinnvoll in Zusammenarbeit mit einer Zertifizierungsstelle anwendbar und meist kostenpflichtig ist,
Wenn meine Bank mit S/MIME signiert sind die Kosten erstmal IHR Problem, nicht meins. ;-)
die Sicherheit von Zertifizierungsstellen ist nicht unbedingt gewaehrleistet,
Wenn ich paranoid bin schmeiss ich alle CAs aus meinem Mailprogramm raus und prüfe jedes Zertifikat selber.
es wird ein Mailprogramm benoetigt das smime unterstuetzt
Jedes halbwegs brauchbare Mailprogramm hat das seit Jahren von Haus aus drin.
schau in den header , und oder z.b
https://sys4.de/de/blog/2013/11/14/thunderbird-add-dkim-verifier/
Ich hab keine Lust bei jeder Mail die Header zu studieren. Das muss schon etwas komfortabler sein. Und Thunderbird ist für mich unbrauchbar wegen fehlender CardDAV-Unterstüzung und anderen Unzulänglichkeiten.
S/MIME leistet das gleiche, bzw. noch mehr, als DKIM (verifiziert nicht nur die Mailheader, sondern die komplette Nachricht), und bietet mehr Komfort: ist in ordentlichen Mailprogrammen bereits drin, und signalisiert mir ohne Studium der Header ob eine Mail wirklich von meiner Bank ist.
Ich lass mich ja gerne von DKIM überzeugen, aber die bisher vorgebrachten Argumente tun es nicht.
Vielleicht reden wir auch aneinander vorbei. Vielleicht sind meine Erwartungen andere als deine. Nochmal, was ich von einem Standard erwarte (egal ob der jetzt SPF, DKIM oder wie auch immer heisst):
-> er muss irgendeinen Nutzen für mich als User haben, z.B. in der Filterung der Mails, oder im komfortablen Erkennen von Fakes (ohne Studium der Header, und ohne auf ein ganz spezielles Mailprogramm angewiesen zu sein). Bei DKIM sehe ich nicht wie _mir_ das nutzen kann (siehe auch meine andere Mail zu dem Thema).
Am 14.09.2014 um 11:15 schrieb Joachim Fahrner:
Am Sonntag, den 14.09.2014, 10:45 +0200 schrieb Robert Schetterer:
smime ein ist ein Standard für die Verschlüsselung
Nein, auch zum signieren.
( der zur Zeit nur sinnvoll in Zusammenarbeit mit einer Zertifizierungsstelle anwendbar und meist kostenpflichtig ist,
Wenn meine Bank mit S/MIME signiert sind die Kosten erstmal IHR Problem, nicht meins. ;-)
die Sicherheit von Zertifizierungsstellen ist nicht unbedingt gewaehrleistet,
Wenn ich paranoid bin schmeiss ich alle CAs aus meinem Mailprogramm raus und prüfe jedes Zertifikat selber.
es wird ein Mailprogramm benoetigt das smime unterstuetzt
Jedes halbwegs brauchbare Mailprogramm hat das seit Jahren von Haus aus drin.
schau in den header , und oder z.b
https://sys4.de/de/blog/2013/11/14/thunderbird-add-dkim-verifier/
Ich hab keine Lust bei jeder Mail die Header zu studieren. Das muss schon etwas komfortabler sein. Und Thunderbird ist für mich unbrauchbar wegen fehlender CardDAV-Unterstüzung und anderen Unzulänglichkeiten.
S/MIME leistet das gleiche, bzw. noch mehr, als DKIM (verifiziert nicht nur die Mailheader, sondern die komplette Nachricht), und bietet mehr Komfort: ist in ordentlichen Mailprogrammen bereits drin, und signalisiert mir ohne Studium der Header ob eine Mail wirklich von meiner Bank ist.
Ich lass mich ja gerne von DKIM überzeugen, aber die bisher vorgebrachten Argumente tun es nicht.
Meine Intention ist nicht irgendwen von irgendwas zu ueberzeugen, sondern max technische Hilfe zu leisten, das hast du ausgeschoepft, diese Themen haben nur am Rande etwas mit Postfix zu tun, wende dich besser an die Listen der jeweiligen Software Loesungen.
Vielleicht reden wir auch aneinander vorbei. Vielleicht sind meine Erwartungen andere als deine. Nochmal, was ich von einem Standard erwarte (egal ob der jetzt SPF, DKIM oder wie auch immer heisst):
Du vermischst zuviele Themen,deshalb verirrst du dich darin, DKIM ist ein Identifikationsprotokoll nicht mehr und nicht weniger und es funktioniert wie definiert.
Ein Profi wird versuchen alle existierenden Standards zu integrieren also seine Maildienste SPF/DKIM/DMARC usw konform zu betreiben ausserdem DANE und DNSSEC zu verwenden und zusaetzlich smime/gpg etc zu verwenden bzw zu empfehlen. Ausserdem wird er verschiedene Antispam Techniken nutzen und sich auch sonst bemuehen Empfehlungen einzuhalten im Sinne seiner Kunden, die persoenliche Meinung sollte eine untergeordnete Rolle dabei spielen. Am Ende ist es Open Software jedem steht es frei diese selbst zu verbessern oder Vorschlaege zur Verbesserung einzureichen.
-> er muss irgendeinen Nutzen für mich als User haben, z.B. in der Filterung der Mails, oder im komfortablen Erkennen von Fakes
der OPENDKIM Milter kann auto Mails abweisen, lies die Man Pages und die RFC dazu
(ohne
Studium der Header, und ohne auf ein ganz spezielles Mailprogramm angewiesen zu sein). Bei DKIM sehe ich nicht wie _mir_ das nutzen kann (siehe auch meine andere Mail zu dem Thema).
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
participants (4)
-
Joachim Burbach -
Joachim Fahrner -
lst_hoe02@kwsoft.de -
Robert Schetterer