Ergebnis 1 bis 3 von 3

Thema: SPF und wie man es sinnlos machen kann

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    270

    Böse SPF und wie man es sinnlos machen kann

    SPF ist neben anderen Methoden eine Möglichkeit Punkte zu vergeben um Fake Mails besser markieren zu können, soweit die Theorie und auch ein gutes Mittel.

    Trotzdem gibt es Firmen, deren technischer Verstand nicht weit genug reicht und die so ein gepflegtes DNS System der Kunden aushöhlen. Wenn Kunde/hier Hotel am Geschäft teilhaben will, muss er das machen ob er nun will oder nicht - das Wort Erpressung kommt mir hier nicht über die Lippen aber weit weg bin da auch nicht.

    Am praktischen Beispiel:
    Hotelketten sind heute mehr oder weniger auf Reservierungsysteme angewiesen. Beleuchten wir hier mal den Fall whois:synxis.com besser bekannt als whois: [Link nur für registrierte Mitglieder sichtbar. ].
    Damit Kunde als Hotel daran teilnehmen kann muss der SPF Record der Kunden Domain erweitert werden:
    Code:
    "v=spf1 ... include:nextguest.app ... ~all"
    Lösen wir die includes jetzt mal über die TXT Records auf:
    Code:
    nextguest.app: "v=spf1 include:_spf.smtp.com include:spf.protection.outlook.com ?all"
    _spf.smtp.com: "v=spf1 ip4:192.40.160.0/19 ip4:74.91.80.0/20 ~all"
    spf.protection.outlook.com: "v=spf1 ip4:40.92.0.0/15 ip4:40.107.0.0/16 ip4:52.100.0.0/14 ip4:104.47.0.0/17 ip6:2a01:111:f400::/48 ip6:2a01:111:f403::/48 include:spfd.protection.outlook.com -all"
    spfd.protection.outlook.com: "v=spf1 ip4:51.4.72.0/24 ip4:51.5.72.0/24 ip4:51.5.80.0/27 ip4:51.4.80.0/27 ip6:2a01:4180:4051:0800::/64 ip6:2a01:4180:4050:0800::/64 ip6:2a01:4180:4051:0400::/64 ip6:2a01:4180:4050:0400::/64 -all"
    Damit wird das Senden von Mails - im Namen der Domain des Hotels - zugelassen für die Adressbereiche ipv4 und ipv6, um genau zu sein für:
    • eine halbe Million Server - genau 504364 - aus dem ipv4 Bereich
    • 131076 aus dem ipv6 Bereich

    Da diese 635.440 Systeme überwiegend dem MS Bereich zugeordnet werden dürfen habe ich nicht die Hoffung, dass Sicherheit und vernüftige Beschränkung zu den Stärken zählen. Im Grunde kann der Kunde dann auch gleich ipv4:0.0.0.0/0 eintragen oder den SPF Record ganz weglassen.

    Was soll hier erreicht werden und wie viele Gehirnzellen benötigen deren IT Architekten eigentlich?
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  2. #2
    Mitglied
    Registriert seit
    02.11.2010
    Ort
    Lübeck
    Beiträge
    324

    Standard

    Mailserver gehostet in der MS-Cloud, aus Kostengründen keine festen IPs vereinbart, und schon braucht man so einen Mist. Viele Firmen wollen ihren Kunden nicht zumuten (halten sie für unfähig/faul) extra im Text die passende Mailadresse statt reply-to anzuklicken, also zwingt der Buchungsservice alle Kunden(Hotels) der Nutzung der Mailadresse zuzustimmen.
    Oo:..

  3. #3
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    270

    Standard

    Nicht ganz ernst gemeint, aber eigentlich sollte man Spamfilter schon so konfigurieren, dass eine bestimmte Menge an erlaubten Hosts als "Kein SPF Record vorhanden" behandelt wird. Hier ein Beispiel welches sehr oft verwendet wird [Link nur für registrierte Mitglieder sichtbar. ]
    Chuck Norris isst keinen Honig, er kaut die Bienen!

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen