SPF und DMARC wirklich so schlecht?

[Max Grobecker]

Hallo,

du vermischst da gerade mehrere Dinge:
DKIM + DMARC ist das aktuelle Verfahren das man einsetzen sollte. Der Nachteil daran ist, dass du eben alle deine E-Mails entsprechend signieren musst.
Das ist bei ein paar E-Mails kein Problem und durch zentrale "Signatur-Relays" durchaus umsetzbar - allerdings verschickt die Telekom ja mehr als nur ein paar E-Mails,
da bekommst du durch das Signieren spürbar mehr Last auf den Server.
Allerings ist das kein Grund, es nicht langsam mal einzuführen - man kann ja per DMARC-Policy festlegen dass deine E-Mails ggf. auch keine Signatur tragen.

SPF ist an sich nichts, was man jetzt neu ausrollen sollte. Unterm Strich macht man sich resp. den Absendern unter einer Domain selbst Probleme,
z.B. mit Mailweiterleitungen (denn der weiterleitende Mailserver ist i.d.R. nicht durch SPF authorisiert) oder auch bei manchen Mailinglisten.

DNSSEC hat mit beidem so gar nichts zu tun - das brauchst du nur zwingend dann, wenn du DANE verwenden willst. Das hat mit SPF, DKIM und DMARC aber nichts zu tun, das ist eine andere Baustelle ;-)



Viele Grüße aus dem Tal
Max

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160702/8cc9c3ac/attachment.asc>