SPF - das ist nur eine Einschränkung, welche IPs weiterleiten dürfen?

0

Vermisse ich etwas oder kann SPF einfach sagen, dass nur Clients in den folgenden Netzwerken E-Mails über diesen Server senden dürfen?

Welche - für einen Comcast oder jemanden, der die IPs für alle seine Kunden besitzt, kann sagen "Sie müssen in meinem Netzwerk sein, um E-Mails über mich zu senden"?

Oder verstehe ich das total falsch?

Mein Szenario ist, dass ich ein Synology NAS so konfiguriere, dass es einen E-Mail-Server ausführt, und ich möchte auf jeden Fall zulassen, dass mein Laptop E-Mails über meinen SMTP-Server sendet, unabhängig davon, woher ich gerade eine Verbindung herstelle.

Wenn der SPF mich nur so einschränkt, dass ich mich in einer IP-Zone befinden muss, bevor ich ihn durchschicken kann, wie ist das dann sinnvoll?

Oder heißt es, dass die Domain des Absenders in den aufgelisteten Datensätzen enthalten sein muss? wie die [email protected] kann nur über diesen smtp server weitergeleitet werden ist foo.bar ein gültiger spf record?

Ich muss etwas falsch verstehen?

Mordachai
quelle
2
Haben Sie schon die Wikipedia-Seite über SPF gelesen? en.wikipedia.org/wiki/Sender_Policy_Framework
konqui
Ich lese das und ein paar andere Artikel und versuche, Kopf oder Fuß daraus zu machen :) Ich bin normalerweise ein C ++ - Typ, kein SMTP-Experte, und der Verstand schmilzt! ;)
Mordachai

Antworten:

3

Wikipedia Sender Policy Framework :

Das Sender Policy Framework (SPF) ist ein E-Mail-Überprüfungsprotokoll, das zum Erkennen und Blockieren von E-Mail-Spoofing entwickelt wurde. Es stellt einen Mechanismus bereit, mit dem Empfänger von E-Mail-Austauschern überprüfen können, ob eingehende E-Mails von einer von den Administratoren dieser Domäne autorisierten IP-Adresse stammen. Die Liste der autorisierten sendenden Hosts und IP-Adressen für eine Domain wird in den DNS-Einträgen (Domain Name System) für diese Domain in Form eines speziell formatierten TXT-Eintrags veröffentlicht. E-Mail-Spam und Phishing verwenden häufig gefälschte Absenderadressen und -domänen, sodass das Veröffentlichen und Überprüfen von SPF-Datensätzen als eine der zuverlässigsten und am einfachsten zu verwendenden Anti-Spam-Techniken angesehen werden kann.

Dies bedeutet nur, dass, wenn Sie E-Mails von einer Domain senden, Ihre IP-Adresse muss vom Domaininhaber als gültiger E-Mail-Anbieter deklariert werden. Wenn Sie die SPF-Prüfung nicht bestehen, wird Ihre E-Mail normalerweise nicht blockiert. Möglicherweise stellen Sie jedoch fest, dass Ihre Nachrichten als Spam eingestuft wurden.

harrymc
quelle
Welche IP? Die IP des angegebenen Absenders ([email protected]) oder die tatsächliche IP des Clients, der versucht zu senden (wo sich ein bestimmter Computer im Internet befindet)? oder die IP des sendenden Servers selbst (in manchen Fällen Outlook oder ein anderer E-Mail-Client oder ein E-Mail-Server, der eine Nachricht weiterleitet?)
Mordachai
1
Die tatsächliche IP des Absenders. Alle Header-Felder in der Nachricht können (und werden oft) gehackt und können daher nicht als vertrauenswürdig eingestuft werden.
harrymc
1
@Mordachai: Die Prüfung erfolgt während der Übertragung an die Empfängerdomäne. Daher ist der "Absender" der letzte Server, der noch zur Ursprungsdomäne gehört, der direkt mit den SMTP-Servern der empfangenden Domäne kommuniziert.
grawity
1
@grawity: Dies ist nicht sehr genau, da der endgültige Absender in der Domäne häufig von allen Computern der Domäne gemeinsam genutzt wird. Dies macht jeden zu einem autorisierten E-Mail-Versender ...
harrymc
1
@harrymc Eigentlich ist es der Server, der E-Mails versendet, der den Absender darstellt. Wenn Sie einen Exchange-Server verwenden, kann der Exchange-Server der Absender oder ein SMTP-Server sein. Sie legen den SPF-Eintrag entweder auf die IP-Adresse des Exchange-Servers oder auf den SMTP-Server fest. Wenn Sie über IMAP verfügen, sollte der SMTP-Server für diesen IMAP verwendet werden, und diese IP-Adresse kann aufgelistet werden. Das ist normalerweise der Server, auf dem die Mail gehostet wird. Es kann sich auch um den SMTP-Server des Internetdienstanbieters handeln, auf dem sich die betreffende Person befindet. Dies ist jedoch nie sinnvoll, wenn Sie auch mit SPF-Einträgen arbeiten.
LPChip
1

Sie verstehen SPF-Datensätze nicht.

Mit SPF-Einträgen können Sie überprüfen, welche IP-Adressen E-Mails senden dürfen.

Wenn Sie einen SPF-Datensatz einrichten, denkt jeder, der den Datensatz überprüft: Okay, er sagt mir hier tatsächlich, welche IP-Adressen E-Mails senden dürfen, damit ich die Person, die hier die E-Mails versendet, überprüfen kann.

Wenn Sie also eine E-Mail an einen anderen Server senden, kann dieser Server einen Spamfilter haben, in dem der Spamfilter den SPF-Datensatz überprüft. Wenn der Datensatz nicht bestätigt, dass Sie die E-Mail senden, kann der Spamfilter entscheiden, Ihre E-Mail abzulehnen.

Das bedeutet auch, dass, wenn der Server, an den Sie E-Mails senden, keinen Spamfilter hat, die E-Mail auch dann eingeht, wenn der SPF-Eintrag Ihre IP-Adresse nicht angibt.

Der SPF-Datensatz ist daher ein Leitfaden für Spamfilter und keine Methode, um E-Mails tatsächlich zu blockieren.

Sie fragen sich vielleicht, wann Sie einen SPF-Datensatz benötigen, da E-Mails nicht sowieso immer von Ihrem Server gesendet werden? Nein, würde es nicht. Jeder kann die Header einer E-Mail fälschen und den Eindruck erwecken, dass sie von Ihrem Server stammt, obwohl dies nicht der Fall ist. Der Spamfilter führt dann eine Domainnamensuche durch, findet den SPF-Datensatz, vergleicht ihn mit der IP-Adresse dieses Scammers, erkennt, dass er nicht übereinstimmt, und kennzeichnet die E-Mail als Spam.

LPChip
quelle
Okay - wenn ich also anderen Servern mitteilen möchte, dass alle E-Mails, die angeblich von my-domain.com stammen, von meinem E-Mail-Server mail.my-domain.com stammen müssen, kann ich "v = spf1 mx - all "--- was bedeutet, dass nur meine MX-IP berechtigt ist, E-Mails für diese Domain zu senden"?
Mordachai