SPF-Record - Alternativen?

Es gibt 10 Antworten in diesem Thema. Der letzte Beitrag () ist von Mono.

    SPF-Record - Alternativen?

    Hi,

    in der Firma in der ich arbeite bieten wir Hosted-Exchange an. Das läuft so ab dass wir bei unserem Exchange-Provider ein Postfach für den Kunden erstellen, eine E-Mail zur Bestätigung der Adressmaskierung versenden und dann auf Kunden-Seite die Weiterleitung auf die Exchange-Adresse einrichten. Soweit so gut.

    Jetzt ist es so, dass wir bei Kunden die ihre Domains bei uns hosten in den DNS-Einstellungen einen SPF-Record erstellen der so aussieht: v=spf1 +a +mx include:unser-exchange-provider.tld -all. Allerdings möchten wir auch, dass Kunden die Ihre Hosting-Dienste und Domains woanders liegen haben (1und1, Strato, Web.de, gmx etc....) ebenfalls Exchange nutzen können. Nur bei manchen gebuchten Paketen gibt es dann die Möglichkeit, DNS-Einträge zu editieren gar nicht. Viele Mailserver legen aber Wert auf den SPF-Eintrag. Und wenn der nicht passt, wird ne Mail als Spam behandelt.

    Die Frage ist jetz, ob es Alternativen gibt. Kennt jemand was? Irgend einen Weg wie man das umgehen kann? Sodass auch Kunden die ihren Shit bei web.de oder 1und1 belassen wollen Exchange haben können?

    Link :thumbup:
    Hello World

    Ja einfach keinen SPF für deren Domains verwenden. Das geht normal durch. Wichtig ist nur, dass er nicht falsch ist.

    //EDIT:
    BTW. Eure Mailserver IP's stehen vermutlich alle im Include. Daher brauchst a und mx nicht. Reicht einfach v=spf1 include:unser-exchange-provider.tld -all
    Das ist meine Signatur und sie wird wunderbar sein!

    Hi,

    @Mono
    Ja einfach keinen SPF für deren Domains verwenden. Das geht normal durch. Wichtig ist nur, dass er nicht falsch ist.

    Wat?

    Also wie gesagt unser SPF-Eintrag sieht aus wie im ersten Post beschrieben. Localhost geht sowieso klar. Und zusätzlich muss der Exchange-Server dann via include noch als autorisierter SMTP-Server eingetragen werden. Alle anderen sind dann quasi automatisch nicht autorisiert (-all).

    Link :thumbup:
    Hello World

    Also die Kunden haben web.de Adressen und sollen über euch versenden? Und die haben einen spf und euer Mailserver steht nicht drin? Ich kenn mich eigentlich sehr gut aus mit spf aber ich habe offenbar das Problem noch nicht ganz verstanden..
    Das ist meine Signatur und sie wird wunderbar sein!

    Hi,

    @Mono ok ich versuche mal das besser zu erklären:

    - Einige Kunden haben ihre Domains bei uns am Server liegen. Wenn die Exchange nutzen ist das mit dem SPF-Eintrag kein Problem. Da geh' ich einfach hin und lege einen an. Fertig.
    - Manche Kunden haben ihre Domains nicht bei uns, sondern z.B. bei 1und1. Und nehmen wir an die möchten auch ein Exchange Postfach. So gesehen kein Problem. Weiterleitung kann man ja einrichten. Aber spätestens beim SPF-Eintrag scheitert's dann, weil man DNS-Einstellungen nicht vornehmen kann. Das geht z.B. bei 1und1 nur ab dem vServer-Paket oder so. Jedenfalls haben die meisten eben nicht die Möglichkeit, DNS-Einträge zu verwalten/erstellen/bearbeiten. Somit auch kein SPF. Also was mach ich nun?

    Link :thumbup:
    Hello World

    Ok. Die Domain die bei 1und1 gehostet ist namens blabla.de hat daher keinen SPF Eintrag?
    Das macht ja nix. Damit ist der SPF ja nicht falsch sondern nicht da. SPF ist optional und Mails sollten daher angenommen werden.

    Problematisch ist es nur, wenn die Domain einen SPF hat (mit 1und1 Mailservern drin) und Sie über euch versenden wollen.
    Das ist meine Signatur und sie wird wunderbar sein!

    Ah, verstehe. Also wenn die Domain überhaupt keinen SPF-Eintrag hat gibt's auch keine Probleme. Das heißt dem Empfangs-Mailserver ist es egal dass der versendende Host gar nicht mit dem Domain-Teil der E-Mail-Adresse zusammenpasst? Und ihm isses so gesehen auch egal dass er das (eben via SPF-Eintrag) nicht mal überprüfen kann.

    Link :thumbup:
    Hello World

    läuft man dann aber nicht Gefahr, das Mails nicht ankommen weil die Gegenseite den SPF nicht prüfen kann und daher die Zustellung verweigert?

    Könnte der Kunde nicht eine Subdoamin anlegen (mail.seine-Domain.de) und die IP-Adresse auf Eure öffentliche IP für den Exchange legen, dann kannst du diese Subdomain als SPF eintragen...

    Nur laut gedacht, wenns Blödsinn ist einfach ignorieren :) (Bin kein Exchange Experte)
    "Hier könnte Ihre Werbung stehen..."

    Das heißt dem Empfangs-Mailserver ist es egal dass der versendende Host gar nicht mit dem Domain-Teil der E-Mail-Adresse zusammenpasst.

    Das kann man ja sowieso nicht zuverlässig überprüfen. Was ggf. überprüft wird sind SPF Records und dort werden dann lediglich die IP des versendenden Servers mit der Liste der IP's im SPF Eintrag verglichen. Wenn es keinen SPF gibt, dann kann es auch keinen SPF Fail geben. Es ist wie bereits erwähnt ein optionales Feature. Es kann theoretisch sein, dass iwelche AntiSpam Lösungen nur Mails von Domains mit SPF annehmen, dass ist mir aber nicht bekannt und wäre auch nicht RFC konform

    //EDIT:

    ​läuft man dann aber nicht Gefahr, das Mails nicht ankommen weil die Gegenseite den SPF nicht prüfen kann und daher die Zustellung verweigert?


    Die Gegenseite kann SPF überprüfen. Es gibt halt keinen und daher sind alle Server autorisiert Mails im Namen dieser Domain zu versenden. Das ist solange kein Problem, solange SPF nicht verpflichtend ist. (Was seit jeher eben nicht der Fall ist)
    Das ist meine Signatur und sie wird wunderbar sein!

    Also wenn die Domain überhaupt keinen SPF-Eintrag hat gibt's auch keine Probleme.


    Also hierzu muss ich doch noch was hinzufügen. Es gibt keine Probleme mit SPF Fails und Mails die nicht angenommen werden wegen SPF Blocks. Aber es gibt natürlich das Problem, dass dann jeder Mailserver im Namen der Domains Mails versenden "darf". Damit kann ich zB im Namen von blabla.de eine Mail versenden und jeder Mailserver nimmt es an. Dies wird halt häufig von Spam/Phishing Betreibern usw. verwendet. Mit SPF Eintrag wird das Versenden mit gefälschter Absenderadresse erschwert

    Natürlich greift das dann auch nur, wenn der Empfänger auch auf SPF überprüft (was definitiv nicht alle machen).
    Das ist meine Signatur und sie wird wunderbar sein!

Facebook
Telefonspende