DKIM, SPF, DMARC usw.

Denny Hanschke (Postmaster) postmaster at blubbablasen.de
Do Sep 2 13:32:21 CEST 2021 


Am 02.09.21 um 11:45 schrieb Andreas Wass - Glas Gasperlmair:
> Hallo Liste,
> 
> bin ja gerade am tüfteln unseres neuen Setups für unseren neuen 
> Mailserver auf Debian mit postfix, dovecot, amavis und Co.
> 
> Macht es überhaupt Sinn DKIM, SPF, DMARC usw einzusetzen?
> 
> Im Postfix Buch von Peer Heinlein habe ich gelesen, dass das seiner 
> Meinung nach der falsche Ansatz ist, da sich heute jeder Spammer gültige 
> DNS Einträge, gültige Signaturen usw. konfigurieren kann und es dadurch 
> eigentlich noch leichter wird durch Spamfilter hindurch zu kommen, denn
> 

Bin mir nicht sicher ob es grundsätzlich darum geht Spam zu verhindern. 
Es geht viel mehr darum, Identitätsmissbrauch zu verhindern. Also ein 
Absender kann sich nicht mehr als bekannter Kunde von dir ausgeben, da 
der Kunde SPF und DKIM einsetzt.

> verfolgt man folgenden Ansatz,
> 
> https://blog.sys4.de/amavisd-new-dkim-howto-de.html
> 
> dann würde man bei gültigen Absendern ja Viren und Spamprüfungen per 
> Policies für gewisse Absender ausschalten und nur ungültige Absender 
> durch Viren- und Spamfilter jagen.
> 
> 
> FAZIT aus meiner Sicht:
> 
> 1. Abweisen aller Versender (Kunden die uns Aufträge senden) mit
>     ungültigen DKIM, SPF aufgrund schlecht konfigurierter Mailserver
>     wäre fatal.
> 2. Ausnahme von Viren- und Spamfilter aufgrund von gültigen DKIM, SPF
>     Absendern, die ich mühsam in einer Liste pflegen muss bringt auch
>     nix, da ich natürlich möchte, dass auch Emails unserer Kunden trotz
>     gültiger DKIM, SPF usw. durch alle Spam- und Virenfilter gehen.
> 
>   * Also was tun?
>     Weist Ihr Versender aufgrund ungültiger Prüfungen dieser Mechanismen
>     ab? (Es sollen ja auch viele Office 365 Mailserver im Hinblick
>     darauf schlecht konfiguriert sein und viel ungültige Prüfung in
>     diese Richtung auslösen)
> 
Hm... ja da macht amavis einen großen Fehler. Darum lass ich im Moment 
noch amavis keine Prüfung auf DKIM-Gültigkeit durchführen.

Damit Angestellte trotzdem selber prüfen können, nutze ich zur Zeit das 
addon für Thunderbird "DKIM Verifier". Eine Prüfung durch Angestellte 
ist besser, als gar keine Prüfung ;)
>   * Was macht Sinn?
> 
>   * Oder habe ich generell etwas falsch verstanden?
> 
> 
> vg, Andi
>

Mehr Informationen über die Mailingliste postfix-users