[lug-ld] SPF & Co

Christian Boltz lug-ld at cboltz.de
Mo Okt 31 20:40:55 CET 2011 

Hallo Peter, hallo Jochen, hallo Leute,

Am Montag, 31. Oktober 2011 schrieb Peter Craciun:
> das Problem tritt auf, wenn für die versendende Domain ein SPF-Record
> existiert und die Mail über ein Relay lief, dessen IP nicht im
> SPF-Record dieser Domain eingetragen wurde und auf einem Mail-Server
> auf dem Weg (Relay oder Ziel) SPF geprüft wird.

Im Prinzip ja, aber ein Detail spielt dabei noch eine wichtige Rolle:

> $ dig +short gmx.de txt
> "google-site-verification=8jV5RCya962H1ur14xR3xWCFUBsExt_YibC3HkuJ9X8"
> "v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25
> ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 -all"
                                                              ^^^^
Dieses "-all" ist das tödliche - es besagt "Du sollst keine anderen 
Götter^WMailserver neben mir haben". (Sprich: nur die angegebenen IPs 
dürfen Mails mit Absender @gmx.de versenden.)

Es gibt noch weitere Varianten:
+all -> jeder darf Mails mit meiner Domain verschicken
?all -> keine Ahnung, wer sonst noch Mails mit meiner Domain verschicken 
        darf
~all -> eigentlich[tm] darf nur der eingetragene Server schicken - wenn 
        es aber doch mal ein anderer tut, ist das auch nicht wirklich 
        schlimm (quasi ein abgemildertes "-all")

Schon an dieser Beschreibung sollte ersichtlich sein, dass alles außer 
"-all" genauso viel (oder wenig) nutzt wie das Löschen des SPF-Eintrags.
Und "-all", das als einzig theoretisch nutzbringende Option übrig 
bleibt, hat tödliche Nebenwirkungen bei Weiterleitungen.

Preisfrage: Was bleibt dann noch sinnvolles von SPF übrig? ;-)

BTW: Genau zum "-all" bei GMX gibt es eine spaßige Anekdote im 
Vortragsvideo von Peer Heinlein (Link siehe gestrige Mail).

> Jedoch scheinen sich die GMX-Konten unterschiedlich zu verhalten. Es
> gibt Konten bei denen es ankommt aber im SPAM-Ordner landet und es
> gibt Konten denen die Mail erst gar nicht zugestellt wird. Dann

Könnte an den Spamschutz-Einstellungen des Kontos liegen. Frag mich aber 
bitte (mangels GMX-Account) nicht nach den Details ;-)


Gruß

Christian Boltz
-- 
> Aber sorry, habe die Schnauze voll mit Linux.... 
Da gehört's eindeutig nicht hin. Nimm's lieber wieder raus.
[> Juergen Jaeckel und Bernd Glueckert in suse-linux]