SPF - das begrenzt nur, welche IPs weiterleiten dürfen?

414
Mordachai

Fehlt mir etwas oder ist SPF einfach eine Möglichkeit zu sagen "Nur Clients in den folgenden Netzwerken dürfen E-Mails über diesen Server senden"?

Welche - für einen Comcast oder jemanden, der die IPs für alle seine Kunden besitzt, kann er sagen: "Sie müssen in meinem Netzwerk sein, um E-Mails über mich zu senden"?

Oder missverstehe ich das total?

Mein Szenario ist, dass ich ein Synology NAS für den Betrieb eines E-Mail-Servers konfiguriere. Ich möchte auf jeden Fall zulassen, dass mein Laptop E-Mails über meinen SMTP-Server sendet, unabhängig davon, wo ich gerade eine Verbindung aufbaue.

Wenn also SPF mich nur so einschränkt, dass ich mich in einer IP-Zone befinden muss, bevor ich sie durchschicken kann - wie ist das dann sinnvoll?

Oder heißt es, dass sich die Domäne des Absenders in den aufgeführten Datensätzen befinden muss? wie der sender@foo.bar kann nur über diesen smtp-server weiterleiten ist foo.bar ist ein gültiger spf-datensatz?

Ich muss etwas falsch verstehen?

0
Haben Sie die Wikipedia-Seite über SPF bereits gelesen? https://en.wikipedia.org/wiki/Sender_Policy_Framework konqui vor 5 Jahren 2
Ich lese das und ein paar andere Artikel und versuche, Köpfe oder Schwänze daraus zu machen :) Normalerweise bin ich ein C ++ - Typ, kein SMTP-Experte, und mein Verstand schmilzt! ;) Mordachai vor 5 Jahren 0

2 Antworten auf die Frage

3
harrymc

Wikipedia- Richtlinien für Absenderrichtlinien :

Sender Policy Framework (SPF) ist ein E-Mail-Überprüfungsprotokoll, mit dem E-Mail-Spoofing erkannt und blockiert werden kann, indem ein Mechanismus bereitgestellt wird, der es dem Mail-Exchanger ermöglicht, zu überprüfen, dass eingehende E-Mails von einer Domäne von einer IP-Adresse stammen, die von den Administratoren dieser Domäne autorisiert ist. Die Liste der autorisierten sendenden Hosts und IP-Adressen für eine Domäne wird in den DNS-Datensätzen (Domain Name System) dieser Domäne in Form eines speziell formatierten TXT-Datensatzes veröffentlicht. E-Mail-Spam und -Pishing verwenden häufig gefälschte Adressen und Domänen, sodass das Veröffentlichen und Überprüfen von SPF-Datensätzen als eine der zuverlässigsten und am einfachsten zu verwendenden Anti-Spam-Techniken gilt.

Dies bedeutet lediglich, dass Sie, wenn Sie E-Mails von einer Domäne senden, Ihre IP-Adresse vom Domäneninhaber als gültigen E-Mail-Server deklarieren müssen. Wenn Sie die SPF-Prüfung nicht bestehen, wird Ihre E-Mail normalerweise nicht blockiert. Möglicherweise werden Ihre Nachrichten jedoch als Spam eingestuft.

Welche IP? Die IP-Adresse des angegebenen Absenders (name@domain.net) oder die tatsächliche IP-Adresse des Clients, der versucht, zu senden (wenn sich ein bestimmter Computer im Inet befindet)? oder die IP des sendenden Servers selbst (was ist in einigen Fällen möglicherweise Outlook oder ein anderer E-Mail-Client oder ist es vielleicht ein E-Mail-Server, der eine Nachricht weiterleitet?) Mordachai vor 5 Jahren 0
Die tatsächliche IP des Absenders. Alle Header-Felder in der Nachricht können (und werden häufig) gehackt werden. harrymc vor 5 Jahren 1
@Mordachai: Die Überprüfung findet während der Übertragung zur Empfängerdomäne statt. Daher ist der "Absender" der letzte Server, der noch zur Ursprungsdomäne gehört, und derjenige, der direkt mit den SMTP-Servern der empfangenden Domäne kommuniziert. grawity vor 5 Jahren 1
@ grawity: Dies ist nicht sehr präzise, ​​da der letzte Absender in der Domäne häufig von allen Computern der Domäne gemeinsam genutzt wird. So werden alle zu einem autorisierten E-Mailer ... harrymc vor 5 Jahren 1
@ harrymc Tatsächlich ist es der Server, der E-Mails sendet, die der Absender ist. Wenn Sie einen Exchange-Server verwenden, kann der Exchange-Server der Absender sein oder ein SMTP-Server kann verwendet werden. Entweder legen Sie den SPF-Datensatz auf die IP-Adresse des Exchange-Servers oder den SMTP-Server fest. Wenn Sie über IMAP verfügen, sollte der SMTP-Server für dieses IMAP verwendet werden, und diese IP-Adresse kann aufgelistet werden. Das ist normalerweise der Server, auf dem sich die Mail-Hosts befinden. Es kann sich auch um den SMTP-Server des ISP handeln, bei dem sich die Person befindet, aber das ist nie gut, wenn Sie auch mit SPF-Datensätzen arbeiten. LPChip vor 5 Jahren 1
@ harrymc: ** Wenn ** der betreffende Server keinerlei Berechtigungsanforderungen hat, dann ja, sicher. Praktisch ** no ** Mail-Server sind jedoch für Relay-Dienste völlig offen: Zumindest müssen sie sich im selben IP-Bereich befinden oder sich über Benutzername / Passwort authentifizieren oder ähnliches. (Sie können beispielsweise keine Nachrichten an die SMTP-Server von Google Mail senden, um sie an eine andere Domäne weiterzuleiten, wenn Sie sich nicht bei Ihrem Google Mail-Konto authentifizieren.) grawity vor 5 Jahren 0
1
LPChip

Sie verstehen keine SPF-Datensätze.

Mithilfe von SPF-Datensätzen können Sie überprüfen, welche IP-Adressen E-Mails senden dürfen.

Wenn Sie einen SPF-Datensatz einrichten, wird jeder, der den Datensatz überprüft, denken: Okay, er sagt mir hier tatsächlich, welche IP-Adressen E-Mails senden dürfen. Ich kann also die E-Mail-Adresse hier überprüfen.

Wenn Sie also eine E-Mail an einen anderen Server senden, kann dieser Server über einen Spamfilter verfügen, bei dem der SPF-Filter den SPF-Datensatz überprüft. Wenn der Datensatz nicht bestätigt, dass Sie die E-Mail senden, kann der Spamfilter Ihre E-Mail ablehnen.

Das bedeutet auch, dass wenn der Server, an den Sie E-Mails senden, keinen Spamfilter hat, die E-Mail auch dann durchgeht, wenn der SPF-Eintrag Ihre IP-Adresse nicht angibt.

Der SPF-Datensatz ist daher ein Leitfaden für Spamfilter und keine Methode, um E-Mails tatsächlich zu blockieren.

Nun fragen Sie sich vielleicht, wann Sie einen SPF-Datensatz benötigen würden, weil E-Mails nicht immer von Ihrem Server gesendet würden? Nein, das würde es nicht. Jeder kann die Kopfzeilen einer E-Mail fälschen und es so erscheinen lassen, als ob sie von Ihrem Server stammen würde, während dies tatsächlich nicht der Fall ist. Der Spamfilter führt dann einen Domainnamen durch, sucht den SPF-Datensatz, vergleicht ihn mit der IP-Adresse dieses Betrügers, erkennt, dass er nicht übereinstimmt, und kennzeichnet die E-Mail als Spam.

Okay - wenn ich also anderen Servern sagen will "hey, alle E-Mails, die behaupten, von my-domain.com zu sein, müssen von der IP-Adresse meines Mail-Servers mail.my-domain.com stammen", dann kann ich sagen "v = spf1 mx - all "--- was übersetzt als" nur meine MX-IP darf E-Mails für diese Domain senden "? Mordachai vor 5 Jahren 0

Verwandte Probleme