[Postfixbuch-users] [SRS] Sender Rewriting Scheme möglich?

Julian Pawlowski (lists) lists at jp-solution.net
Sa Apr 15 03:18:11 CEST 2006


Robert Felber schrieb:
> Frage 1: Wozu gibt es bereits A/MX/PTR records.
> Frage 2: Was ist der Unterschied zu gepflegten A/MX/PTR Records und SPF records?

Nicht jeder Host, der hinter einem MX-Record steht, versendet auch.
Nur von Hosts anzunehmen, die einen innerhalb der Domain verwendeten A/PTR-Record haben, ist sicherlich auch der falsche Weg.
Hier kommt SPF ins Spiel, du gibst dort halt nach belieben auch externe Hosts an.

> Frage 3: Was genau loest SPF eigentlich.

SPF schützt dich dafür, dass jemand deine Absenderadresse fälscht (sprich dass jemand deine eMail-Adresse als Envelope-From bzw. Return-Path angibt). Sicherlich kennst du die Mails und Anrufe von Bekannten und Geschäftspartnern, dass du Ihnen Spam geschickt hättest, weil Sie nur den Body lesen...

> Frage 4: Wozu muessen _alle_ etwas implementieren, was nur Majors (mangels
>         Kompetenz) und some Minors (im Blindflug den Majors hinterher)
>         nutzen.

Das ich ein Nacharmer bin, würde ich so gar nicht unterschreiben. Ich habe mir sicherlich meine Gedanken zu dem Einsatz gemacht und verfolge auch ein klares Ziel (siehe oben).
Des weiteren werte ich selbst bei meinen Servern den SPF-Record auch aus, weil ich der Meinung bin, dass ein Admin der Gegenseite bei gesetzten Records genau weiß, wozu sie gut sind. Wenn dann keine Mails angenommen werden, weil er von einem nicht registrieren Host eMails sendet, ist das sein Problem. Ist das nicht auch bei anderen Restriktionen die Devise? Ich denke ja...

> Frage 5: SPF und Forwarding beissen sich, diese Erkenntniss sollte dazu fuehren
>          dass man die Verwendung von SPF tunlichst ablehnt, denn SRS loesst
>          es insofern, dass Spammers einfach auch die SRS Technik-wooha nutzen
>          koennten.

Es kommt auf den Einsatz der Domain an denke ich. Es macht nicht bei jeder Domain sinn, aber wenn du geschäftlich eMail-Verkehr abwickelst und diese Mails wirklich nur aus deiner Hoheit verschickt und dort empfangen werden, halte ich dieses Mittel für der Sinnvoll und effektiv. Ich maskiere beispielsweise häufig Unternehmensmailserver, auf die ohnehin keine Weiterleitungen von eMails stattfinden, die nicht auch innerhalb des selben LAN/MAN/WAN liegen.
Nicht zuletzt deshalb steigt auch die Anzahl der Mailserver, die diese Records aktiv auswerten. Meiner Ansicht nach trauen sich nur noch viel zu wenige auch ein "-all" in ihren Records zu setzen, leider.

> Frage 6: Was genau loesst SRS eigentlich?

Sicherlich nicht so viel, wie ich mir wünschen würde. Aber genau deshalb habe ich ja diese Frage hier gestellt. Ich hoffte neben einer Stellungnahme zum aktuellen Stand der Planung/Umsetzung der Implementierung bei Postfix auch eventuelle Alternativen, die ich bisher nicht finden konnte.

Was ich _nicht_ haben wollte ist eine Grundsatzdiskussion, die mir versucht meine Methoden auszureden, ohne dabei grundlegende Aspekte beider Seiten aus neutraler Sicht zu beleuchten.

> Jeder, der SPF im Sinne von 0|1 Policy einsetzt,
> hat SPF nicht verstanden.

Dafür hat SPF ja ganz klare Definitionen: Der Admin legt die Policy selbst fest, indem er ?all, ~all und -all festsetzt. Ich denke, hier kann man dann durchaus sehr klare Linien ziehen. -all ist als wirklich restriktiv anzusehen, denn dann will es der Admin so haben (sprich hier hast du deine 0 und 1). Bei ~all sollte es kein Bounce geben, sondern hier sollte beispielsweise SpamAssassin das Scoring erhöhen (und meiner Meinung nach schon deutlich höher als es jetzt der Fall ist). ?all sollte wirklich nur zum Testen sein und nur eine Warnung im Log auslösen...

Insofern setzt wohl niemand SPF wirklich stur als 0|1 Policy ein, die nicht ernsthaften Admins einmal ausgenommen (sprich alle Nicht-Professionals).

Wenn du von vornherein die Einstellung vertrittst, dich einfach nur dagegen zu entscheiden, ist das auch eine 0|1 Policy, die hier sicherlich auch fehl am Platze ist. Wie gesagt hat SPF sicherlich nicht überall Sinn und stört auch gewiss, wen aber das Manko mit der Weiterleitung nicht betrifft, der bietet anderen Teilnehmern in der eMail-Welt gute Möglichkeiten, unberechtigte Nachrichten abzuwehren (Solidarität der Netzkultur) und steigert gleichzeitig das Vertrauen in das Kommunikationsmedium eMail, denn der Empfänger erhält weniger Nachrichten, die einen falschen Absender haben.

Ich sage explizit nicht, dass SPF (egal ob nun v1 oder v2) ein Allheilmittel ist. Aber man sollte seinen eigenen Gegebenheiten abwägen, ob ein Einsatz sinnvoll sein kann und nicht verschiedene Strukturen generell über einen Kamm scheren.


Gruß
Julian Pawlowski



Mehr Informationen über die Mailingliste Postfixbuch-users