Dirk-HH-83 14 Geschrieben 21. Mai 2021 Melden Teilen Geschrieben 21. Mai 2021 Hallo, Frage: ein SPF Eintrag ist doch immer besser als keiner oder? Hauptsache der SPF Eintrag wird z.B. von www.spf-record.de nicht als gänzlich falsch "erkannt" Meine Sorge ist nur, das ausgehende Mails bestimmte wichtige Empfänger nach Aktivierung des SPF nicht mehr erreichen (weil ein SPF-Detail falsch ist oder die ausgehende Mail beim Empfänger im JUNK landet) Der aktuelle Mailflow ausgehend ist fehlerfrei. Es gibt keine NDR Claims. Die Maildomain hat halt noch kein SPF. Details: Ein lokaler-Mailserver versendet über einen externen SMTP Server (des providers) smtp.provider.de Wenn nun ein SPF hinzugefügt wird, (und sicher ist, das kein Outlook/kein Smartphone einen gänzlich fremden/anderen SMTP Server verwendet) SPF Entwurf: v=spf1 mx a include:smtp-provider.de ip4:öffentliche-ip ~all Einen DMARC Eintrag gleichzeitig im Domain-DNS erstellen kann Sinn machen, weil man durch die "automatische Zusendung von DMARC Reports" Fakemails u.ä. "erahnen/sehen kann" Ohne SPF kein DMARC besten dank für eine Einschätzung Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 21. Mai 2021 Melden Teilen Geschrieben 21. Mai 2021 (bearbeitet) vor 8 Minuten schrieb Dirk-HH-83: Frage: ein SPF Eintrag ist doch immer besser als keiner oder? Nein. Ein falscher SPF Record ist schlechter als kein Record. :p vor 8 Minuten schrieb Dirk-HH-83: Hauptsache der SPF Eintrag wird z.B. von www.spf-record.de nicht als gänzlich falsch "erkannt" Nein auch ein "falscher" aber syntaktisch richtiger SPF Record kann schlechter als kein SPF Record sein. vor 8 Minuten schrieb Dirk-HH-83: Meine Sorge ist nur, das ausgehende Mails bestimmte wichtige Empfänger nach Aktivierung des SPF nicht mehr erreichen (weil ein SPF-Detail falsch ist oder die ausgehende Mail beim Empfänger im JUNK landet) Der aktuelle Mailflow ausgehend ist fehlerfrei. Es gibt keine NDR Claims. Die Maildomain hat halt noch kein SPF. Du kannst doch jetzt auch nicht sagen, ob die Mail beim Empfänger im Junk landet. Und wenn klar ist wie der Mailflow aussieht, dann gibts genau keinen Grund nicht schon seit Jahren einen korrekten SPF Record zu nutzen. Wasn, sind das die Stichpunkte deines Dienstleisters, die du nochmal abhaken willst? vor 8 Minuten schrieb Dirk-HH-83: Ein lokaler-Mailserver versendet über einen externen SMTP Server (des providers) smtp.provider.de Wenn nun ein SPF hinzugefügt wird, (und sicher ist, das kein Outlook/kein Smartphone einen gänzlich fremden/anderen SMTP Server verwendet) SPF Entwurf: v=spf1 mx a include:smtp-provider.de ip4:öffentliche-ip ~all Einen DMARC Eintrag gleichzeitig im Domain-DNS erstellen kann Sinn machen, weil man durch die "automatische Zusendung von DMARC Reports" Fakemails u.ä. "erahnen/sehen kann" Ohne SPF kein DMARC DMARC nur mit SPF kann man machen, führt aber zwangsweise bei einigen Mails zu Spamverdacht (Abwesenheitsnachrichten bspw.). Wenn die Mails alle über den Provider laufen, dann mußt du erstmal schauen, dass der Provider einen entsprechenden SPF Record hat, den du per include setzen kannst. WEnn nicht, wirst du die IPs die der Provider nutzt, einzeln eintragen müssen. mx wozu? a wozu? ~all warum nicht -all? Wer weiß was er tut, setzt den SPF Record auch entsprechend. Und wenn Outlook und Smartphone irgendwelche fremden SMTP Server verwenden, haben die auch ohne SPF Record was falsche gemacht. Bye Norbert PS: Dann frag provider.de doch auch gleich nach DKIM, wenn du eh dabei bist. bearbeitet 21. Mai 2021 von NorbertFe Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 21. Mai 2021 Melden Teilen Geschrieben 21. Mai 2021 Zum Testen kannst Du Softfail benutzen. Wenn alles läut, dann "Fail" setzen. Einen SPF Record kannst Dir über dieses Tool erstellen lassen. Über mxtoolbox und Toolbox kannst Du Deine Mailkonfiguration testen. Ich nutze darüberhinaus ein gmail Konto. Wenn Du eine EMail an gmail sendest kannst Du über "Details" den vollständigen Header ansehen. gmail trägt dort ausführliche Hinweise bzgl. der Prüfung des SPF Records ein. Zitieren Link zu diesem Kommentar
Dirk-HH-83 14 Geschrieben 25. Mai 2021 Autor Melden Teilen Geschrieben 25. Mai 2021 (bearbeitet) Hallo, besten dank für die klarstellung. o365 schreibt meines Wissen nach die gleichen SPF-Details in den Header wie GMAIL Stein des Anstoßes war ein Mißverständnis: meine etwas komische SPF-Frage kam deshalb, weil eine Phishingmail eingetroffen ist (von extern), war jedoch als "intern getarnt" und der Ansprechpartner dachte irrtümlich das man diese Gefahr "lediglich mit SPF-DNS-Eintrag erstellen verringern/verhindern kann" (was dank eurer klarstellung ja falsch ist) a) Das Mailgateway hat noch keine Sperre für eingehende Mails von der eigenen Domain und das hätte in dem Fall vermutlich geholfen Auszug Header: From: "Max Mustermann" <vorname.nachname@firma.de X-Sender: absender-phishingmail@fremde-gekapperte-domäne.com Reply-To: "Max Mustermann" <absender-phishingmail@fremde-gekapperte-domäne.com> X-WatchGuard-Mail-From: absender-phishingmail@fremde-gekapperte-domäne.com Log: Envelope Sender: absender-phishingmail@fremde-gekapperte-domäne.com b) eingehende Emails haben leider "noch" kein automatischen Betreffzusatz [EXTERNAL] oder [INTERNAL] - wie man hier sieht führt es zu Folgeproblemen/Bedarf: https://www.codetwo.de/blog/wie-entfernt-man-stichwoerter-aus-betreff-und-koerper-der-e-mail-antworten-in-on-premises-exchange/7028...Wenn Sie bei eingehenden E-Mails Stichwörter voranstellen, z. B. das Wort EXTERNAL, damit die Benutzer wissen, dass die E-Mail von außerhalb Ihrer Organisation stammt, wird es auch in den Antworten und Weiterleitungen angezeigt. Und das will der Benutzer normalerweise nicht. Wenn Sie also jegliche vorangestellte Stichwörter oder Phrasen aus dem Betreff oder dem Körper der E-Mail entfernen müssen, bevor die Nachricht den ursprünglichen Absender erreicht, müssen Sie entweder Ihren eigenen Code schreiben oder ein Drittanbieter-Tool wie CodeTwo Exchange Rules Pro zum Einsatz bringen. c) Habe bisher nicht mitbekommen, das dies häufiger praktiziert wird, bzw. "wirklich was bringt" Frage: Welche SPF Überprüfung / Aktion am Email-Eingangsgateway wäre eurer Meinung nach empfehlenswert? Ziel: Dem Endverbraucher ggf. über "Betreffmarker signalisieren das es SCAM sein könnte" Das Mailgateway kann dies prüfen und dann z.B. ein SCL oder Betreff-Marker setzen. SPF-Ergebnis gleich/ungleich: PASS FAIL SOFT FAIL NEUTRAL alternatives mailgateway: SPF-Ergebnis gleich/ungleich: NONE PASS NEUTRAL SOFTFAIL FAIL TEMP-ERROR PERM-ERROR bearbeitet 25. Mai 2021 von Dirk-HH-83 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. Mai 2021 Melden Teilen Geschrieben 25. Mai 2021 vor 4 Minuten schrieb Dirk-HH-83: Das Mailgateway hat noch keine Sperre für eingehende Mails von der eigenen Domain und das hätte in dem Fall vermutlich geholfen Kommt drauf an. Dann hätte aber (d)ein SPF Record auch geholfen. Da muss man nix explizit blocken. Und dein Header verrät, dass SPF nicht geholfen hätte, sondern evtl. DKIM und DMARC. Zu b: Naja, da tritt dann am Ende auch nur "Gewöhnung" ein und die Leut klicken trotzdem drauf. Zu c: Hab nicht verstanden, was du eigentlich aussagen willst. :) Zitieren Link zu diesem Kommentar
Forseti2003 14 Geschrieben 2. Juni 2021 Melden Teilen Geschrieben 2. Juni 2021 Am 25.5.2021 um 13:21 schrieb Dirk-HH-83: b) eingehende Emails haben leider "noch" kein automatischen Betreffzusatz [EXTERNAL] oder [INTERNAL] - wie man hier sieht führt es zu Folgeproblemen/Bedarf: https://www.codetwo.de/blog/wie-entfernt-man-stichwoerter-aus-betreff-und-koerper-der-e-mail-antworten-in-on-premises-exchange/7028...Wenn Sie bei eingehenden E-Mails Stichwörter voranstellen, z. B. das Wort EXTERNAL, damit die Benutzer wissen, dass die E-Mail von außerhalb Ihrer Organisation stammt, wird es auch in den Antworten und Weiterleitungen angezeigt. Und das will der Benutzer normalerweise nicht. Wenn Sie also jegliche vorangestellte Stichwörter oder Phrasen aus dem Betreff oder dem Körper der E-Mail entfernen müssen, bevor die Nachricht den ursprünglichen Absender erreicht, müssen Sie entweder Ihren eigenen Code schreiben oder ein Drittanbieter-Tool wie CodeTwo Exchange Rules Pro zum Einsatz bringen. Das lässt sich aber wiederum umgehen, wenn Du eine Transportregel aufbaust, die einfach eine Kategorie für INTERN und/oder EXTERN nutzt. Die Kategorie wird bei ausgehenden Mails nicht mit übertragen und Deine Leute müssten nur lernen die Kategorie in Outlook zu lesen oder ggfls. die Spalte einzublenden. Je nachdem welches Mailprogramm/Version Du einsetzt. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 2. Juni 2021 Melden Teilen Geschrieben 2. Juni 2021 vor 16 Minuten schrieb Forseti2003: Deine Leute müssten nur lernen die Kategorie in Outlook zu lesen oder ggfls. die Spalte einzublenden. Du stellst aber hohe Anforderungen ;) Zitieren Link zu diesem Kommentar
Forseti2003 14 Geschrieben 2. Juni 2021 Melden Teilen Geschrieben 2. Juni 2021 vor 3 Minuten schrieb NorbertFe: Du stellst aber hohe Anforderungen ;) okay, das nur hätte ich in Anführungszeichen setzen sollen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.