SPF ist neben anderen Methoden eine Möglichkeit Punkte zu vergeben um Fake Mails besser markieren zu können, soweit die Theorie und auch ein gutes Mittel.

Trotzdem gibt es Firmen, deren technischer Verstand nicht weit genug reicht und die so ein gepflegtes DNS System der Kunden aushöhlen. Wenn Kunde/hier Hotel am Geschäft teilhaben will, muss er das machen ob er nun will oder nicht - das Wort Erpressung kommt mir hier nicht über die Lippen aber weit weg bin da auch nicht.

Am praktischen Beispiel:
Hotelketten sind heute mehr oder weniger auf Reservierungsysteme angewiesen. Beleuchten wir hier mal den Fall whois:synxis.com besser bekannt als whois:www.sabrehospitality.com.
Damit Kunde als Hotel daran teilnehmen kann muss der SPF Record der Kunden Domain erweitert werden:
Code:
"v=spf1 ... include:nextguest.app ... ~all"
Lösen wir die includes jetzt mal über die TXT Records auf:
Code:
nextguest.app: "v=spf1 include:_spf.smtp.com include:spf.protection.outlook.com ?all"
_spf.smtp.com: "v=spf1 ip4:192.40.160.0/19 ip4:74.91.80.0/20 ~all"
spf.protection.outlook.com: "v=spf1 ip4:40.92.0.0/15 ip4:40.107.0.0/16 ip4:52.100.0.0/14 ip4:104.47.0.0/17 ip6:2a01:111:f400::/48 ip6:2a01:111:f403::/48 include:spfd.protection.outlook.com -all"
spfd.protection.outlook.com: "v=spf1 ip4:51.4.72.0/24 ip4:51.5.72.0/24 ip4:51.5.80.0/27 ip4:51.4.80.0/27 ip6:2a01:4180:4051:0800::/64 ip6:2a01:4180:4050:0800::/64 ip6:2a01:4180:4051:0400::/64 ip6:2a01:4180:4050:0400::/64 -all"
Damit wird das Senden von Mails - im Namen der Domain des Hotels - zugelassen für die Adressbereiche ipv4 und ipv6, um genau zu sein für:
  • eine halbe Million Server - genau 504364 - aus dem ipv4 Bereich
  • 131076 aus dem ipv6 Bereich

Da diese 635.440 Systeme überwiegend dem MS Bereich zugeordnet werden dürfen habe ich nicht die Hoffung, dass Sicherheit und vernüftige Beschränkung zu den Stärken zählen. Im Grunde kann der Kunde dann auch gleich ipv4:0.0.0.0/0 eintragen oder den SPF Record ganz weglassen.

Was soll hier erreicht werden und wie viele Gehirnzellen benötigen deren IT Architekten eigentlich?