On 03/03/2017 10:21 PM, Ralf Mattes wrote:
Am Freitag, 03. März 2017 21:27 CET, <tomas(a)tuxteam.de> schrieb:
Ich habe den (unbestätigten) Verdacht, dass die
outlook-Bande DKIM [1]
und/oder SPF [2] will (ich habe das auch nicht und muss derzeit Outlookies
darum bitten, mir zuerst eine Mail zu schicken: dann klappt es).
Hmm - die Fehlermeldung der beiden Server sieht aber nicht ganz danach aus.
Ein Unterschied ist allerdings, dass ich gar kein
Bounce bekomme, sondern
dass die Mail still herunterfällt.
Das hat Microsoft ja auch mit uns (MH) gemacht - was natürlich nach deutscher
Rechsprechung
vollkommen illegal ist.
Irgendwann werde ich mich daran versuchen. Im Netz schwimmen Anleitungen
herum, wie man das macht und auch überprüfen kann.
In beiden Schemata veröffentlichst Du im DNS ein Schnipselchen Information
anhand dessen der empfangende SMTP sich vergewissern kan, dass die Mail
irgendwie "OK" ist.
Wenn ich mich recht entsinne dann kann man Deinen DNS befragen welcher Mailserver
überhaupt
Mails von Deiner Domain versenden darf. Das ist eine _ziemlich_ sinnvolle Erweiterung mit
der man
elegant eine grosse Menge Spam verhindern kann.
TL;DR: SPF ist eine prima Idee, aber nicht ohne Tücken
Leider gibt es auch false-positives in Verbindung mit Mailforwards. Wenn
ich alle Mail, die ich für meine Adresse
uwe(a)einemaildomain.de
erhalte, weiterleite an
uwe(a)gmx.de
, und mir dann ralf(a)spf-enabled-domain.de eine Mail an
uwe(a)einemaildomain.de schickt, resultiert das in eine Mail, die der MX
von einemaildomain.de im Namen von ralf(a)spf-enabled-domain.de an den MX
von gmx.de schickt. GMX schaut jetzt den SPF-Record von
spf-enabled-domain.de nach und sieht, dass der MX von einemaildomain.de
diese Mail garnicht senden darf und wirft sie weg (oder bounct sie).
Das heißt, wenn Du SPF für Deine Domain verwendest, sind Deine
ausgehenden Mails nicht ohne (ebenfalls umstrittenen) Zusatzmechanismus
(SRS) auf anderen Servern weiterleitbar.
Weiterhin könnte man es auch als Feature betrachten, dass ich einen
Absender auf eine Mail kleben kann, für den mein Ausgangsserver nicht
zuständig ist. Z.B. bieten manche Mail-Provider keinen Plattenplatz für
die Mails, sondern leiten immer weiter (z.B. @debian.org). Dann kommen
meine Mails also auf einem System an, das (vermutlich) nicht für diese
Domain zuständig ist. Wenn ich auf diese Mail antworte, will ich
trotzdem ein From: ...(a)debian.org in der Mail haben.
Das ginge auch nicht, wenn
debian.org einen SPF-Eintrag hätte.
Das hat mich bisher überzeugt, dass ich kein SPF haben will.
Liebe Grüße
Uwe