PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SPF und wie man es sinnlos machen kann



nlnn
20.08.2020, 08:42
SPF ist neben anderen Methoden eine Möglichkeit Punkte zu vergeben um Fake Mails besser markieren zu können, soweit die Theorie und auch ein gutes Mittel.

Trotzdem gibt es Firmen, deren technischer Verstand nicht weit genug reicht und die so ein gepflegtes DNS System der Kunden aushöhlen. Wenn Kunde/hier Hotel am Geschäft teilhaben will, muss er das machen ob er nun will oder nicht - das Wort Erpressung kommt mir hier nicht über die Lippen aber weit weg bin da auch nicht.

Am praktischen Beispiel:
Hotelketten sind heute mehr oder weniger auf Reservierungsysteme angewiesen. Beleuchten wir hier mal den Fall synxis.com besser bekannt als www.sabrehospitality.com.
Damit Kunde als Hotel daran teilnehmen kann muss der SPF Record der Kunden Domain erweitert werden:

"v=spf1 ... include:nextguest.app ... ~all"
Lösen wir die includes jetzt mal über die TXT Records auf:

nextguest.app: "v=spf1 include:_spf.smtp.com include:spf.protection.outlook.com ?all"
_spf.smtp.com: "v=spf1 ip4:192.40.160.0/19 ip4:74.91.80.0/20 ~all"
spf.protection.outlook.com: "v=spf1 ip4:40.92.0.0/15 ip4:40.107.0.0/16 ip4:52.100.0.0/14 ip4:104.47.0.0/17 ip6:2a01:111:f400::/48 ip6:2a01:111:f403::/48 include:spfd.protection.outlook.com -all"
spfd.protection.outlook.com: "v=spf1 ip4:51.4.72.0/24 ip4:51.5.72.0/24 ip4:51.5.80.0/27 ip4:51.4.80.0/27 ip6:2a01:4180:4051:0800::/64 ip6:2a01:4180:4050:0800::/64 ip6:2a01:4180:4051:0400::/64 ip6:2a01:4180:4050:0400::/64 -all"


Damit wird das Senden von Mails - im Namen der Domain des Hotels - zugelassen für die Adressbereiche ipv4 und ipv6, um genau zu sein für:

eine halbe Million Server - genau 504364 - aus dem ipv4 Bereich
131076 aus dem ipv6 Bereich

Da diese 635.440 Systeme überwiegend dem MS Bereich zugeordnet werden dürfen habe ich nicht die Hoffung, dass Sicherheit und vernüftige Beschränkung zu den Stärken zählen. Im Grunde kann der Kunde dann auch gleich ipv4:0.0.0.0/0 eintragen oder den SPF Record ganz weglassen.

Was soll hier erreicht werden und wie viele Gehirnzellen benötigen deren IT Architekten eigentlich?

gerste
20.08.2020, 15:11
Mailserver gehostet in der MS-Cloud, aus Kostengründen keine festen IPs vereinbart, und schon braucht man so einen Mist. Viele Firmen wollen ihren Kunden nicht zumuten (halten sie für unfähig/faul) extra im Text die passende Mailadresse statt reply-to anzuklicken, also zwingt der Buchungsservice alle Kunden(Hotels) der Nutzung der Mailadresse zuzustimmen.

nlnn
28.04.2021, 13:52
Nicht ganz ernst gemeint, aber eigentlich sollte man Spamfilter schon so konfigurieren, dass eine bestimmte Menge an erlaubten Hosts als "Kein SPF Record vorhanden" behandelt wird. Hier ein Beispiel welches sehr oft verwendet wird https://check.std-service.com/spf?domain=spf.protection.outlook.com (https://www.antispam-ev.de/forum/redirector.php?url=https%3A%2F%2Fcheck.std-service.com%2Fspf%3Fdomain%3Dspf.protection.outlook.com)