Warum werden E-Mails trotz eines SPF-Hardfails normal zugestellt?

9

Ich versuche herauszufinden, warum gefälschte E-Mails an große E-Mail-Anbieter (gmail.com, Outlook.com) gesendet werden, obwohl E-Mails mit einem SPF gekennzeichnet sind hardfail. Die E-Mail wird auch an Microsoft Exchange gesendet, das einen PermErrorfür denselben SPF-Datensatz ausgibt.

Ich sende eine E-Mail mit der Domain SOME_DOMAIN.com, die einen fehlerhaften SPF-Datensatz definiert. Die E-Mail wird von meiner eigenen IP-Adresse übertragen, die im SPF-Datensatz von SOME_DOMAIN.com nicht explizit aufgeführt ist. Der SPF-Datensatz für SOME_DOMAIN.com hat die folgenden drei Eigenschaften: Die ersten beiden sind eine Verletzung des SPF-RFC-4408:

  1. Erfordert aufgrund von mehr als 10 DNS-Abfragen, um den gesamten SPF-Eintrag aufzulösen include:.
  2. Syntaxfehler in einem der SPF-Datensätze, Python-SPF löst einen Analysefehler aus.
  3. Der SPF-Datensatz enthält sowohl die Regeln ~allals -allauch beide, dass der Satz aller Adressen sollte softfailundhardfail

E-Mails, die an eine address.com-Adresse gesendet werden, die sich als admin@SOME_DOMAIN.com ausgibt, enthalten den folgenden Fehler im SMTP-Header der zugestellten E-Mail. Diese E-Mail wurde normalerweise an den Posteingang des Benutzers gesendet :

Received-SPF: PermError (: domain of SOME_DOMAIN.com used an invalid SPF mechanism)

Google Mail sendet die E-Mail auch an den Posteingang des Benutzers, gibt jedoch einen anderen SPF-Fehler aus:

spf=hardfail (google.com: domain of admin@SOME_DOMAIN.COM does not designate x.x.x.x as permitted sender) smtp.mail=admin@SOME_DOMAIN.COM

Also, was ist hier los? Warum wird E-Mail trotz SPF zugestellt hardfail? Bedeutet ein defekter SPF-Datensatz, dass andere SMTP-Server den SPF vollständig ignorieren? Oder fehlt mir hier etwas ...

email  exchange  smtp  spf 
Turm
quelle

Antworten:

16

SPF wird von so vielen Websites so schlecht konfiguriert, dass der Empfang von MTAs häufig hardfailnur als Empfehlung gilt und lediglich in die Spam-Erkennungswerte einbezogen wird. Am Ende ist es Sache des MTA-Administrators, wie SPF-Fehler behandelt werden.

Flup
quelle
2
Einverstanden. Ein schwerer Fehler bedeutet nicht, dass die E-Mail automatisch abgelehnt wird. Dies hängt davon ab, wie der empfangende Server für die Behandlung von SPF-Fehlern konfiguriert ist.
Joeqwerty
Beachten Sie, dass in Office 365 (und Outlook.com ebenfalls dieselbe Plattform) die SPF-Validierung standardmäßig deaktiviert ist. Sie können dies in den EOP-Einstellungen aktivieren.
Thomas
6

SPF-Fehlerbedingungen geben nichts über die gewünschte Richtlinie an. Als solche geben sie keine Anleitung, ob die Nachricht angenommen werden soll oder nicht. Es ist möglich, dass die beabsichtigte Politik ist +all. In diesem Fall ist es normal, E-Mails anzunehmen. Es scheint, dass Google nachsichtig ist, wenn diese Domains den Standard nicht einhalten.

Selbst die Ablehnung von SPF-Richtlinien ( -all) ist bei der Überprüfung von Absenderadressen unzuverlässig. Es gibt eine Reihe von Fällen, in denen die Ablehnung solcher E-Mails unangemessen wäre, darunter:

  • Von vertraglich vereinbarten Mailern gesendete E-Mails (Diese Personen werden für Verstöße gegen die Richtlinien bezahlt.);
  • E-Mails, die von Webformularen und anderen automatisierten Systemen gesendet werden;
  • Von Mailinglisten oder anderen Weiterleitungsmechanismen weitergeleitete E-Mails; und
  • Nur eine einfache Fehlkonfiguration der SPF-Datensätze (nicht häufig, aber nicht selten genug).

Ich verwende einen ziemlich kleinen Server, auf dem ich Hard-Failes verschieben kann. Dies ermöglicht es mir, legitime Fehler auf die weiße Liste zu setzen. Wenn der Absender feststellt, dass die E-Mail nicht zugestellt wird, kann er seine Konfiguration korrigieren. In einigen Fällen werde ich versuchen, die relevanten zu kontaktieren postmaster, aber viele Domains haben keine postmasterAdresse.

Benutzer, die eine strengere Richtlinie durchsetzen möchten, können DMARC verwenden, das noch kein Standard ist. E-Mails werden wahrscheinlich immer noch zugestellt, können jedoch gemäß dieser Richtlinie unter Quarantäne gestellt oder abgelehnt werden. E-Mails, bei denen die Richtlinie fehlschlägt, werden möglicherweise an den Spam-Ordner und nicht an den normalen Posteingang gesendet.

SPF Hard Failes scheinen zuverlässig zu sein, um die Identität des sendenden Servers zu überprüfen. Ich habe vor einiger Zeit einige Nachforschungen angestellt und festgestellt, dass selbst weiche Fehler beim HELO-Namen ein vernünftiger Grund sind, eingehende Nachrichten zu versagen oder zu verschieben.

Viele Mailserver haben keinen SPF-Eintrag. Wenn der Mailserver keinen SPF-Eintrag hat, überprüfe ich anhand der übergeordneten Domäne einen SPF-Eintrag. Dies ist nicht Standard, aber effektiv. Ich empfehle E-Mail-Administratoren, sicherzustellen, dass ein SPF-Eintrag für die Server-IP vorhanden ist, wie im PTR-Eintrag aufgeführt. Ihr Server sollte sich auch anhand des Namens identifizieren, der von seinem PTR-Datensatz zurückgegeben wird. Stellen Sie sicher, dass Sie einen entsprechenden A-Eintrag für die umgekehrte DNS-Überprüfung haben.

BillThor
quelle
Outlook.com ist milder. Ich habe noch nichts von DMARC gehört, das ist interessant.
Turm
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.