Sender Policy Framework, wie ganze Domain und Subdomains ausschließen

[Bob.Dig]

1. Kann man mit SPF eine Domain und alle erdenklichen Subdominas😅 Subdomains ausschließen?
2. Auch habe ich z.B. eine Domain, von der ich nur eine Subdomain für E-Mail benutze. Auch hier stellt sich mir die Frage, ist es möglich, die Domain und alle Subdomains, bis auf die eine, tatsächlich für E-Mail genutze Subdomain, mit SPF auszuschließen?

Wie würden die ansprechenden DNS-Einträge aussehen?

Zur Klarstellung, ich nutze SPF etc. erfolgreich für die (Sub-)Domains, die tatsächlich E-Mails senden. Mir geht es hier nur um die (Sub-)Domains, die keine E-Mails senden dürfen. Das Ganze findet im privaten Rahmen statt.

 

[snaxilian]

Hast du für deine eigentliche Domain im SPF Record *.domain.tld gesetzt oder nur domain.tld? Wenn ersteres dann gilt der SPF auch für alle möglichen Subdomains, ansonsten afaik explizit nur für domain.tld.
Du kannst das ja einfach testen, wenn du einen SPF Record für subdomain.domain.tld abfragst und bekommst keine Antwort dann gibt es keinen SPF für diese Subdomain.

Wenn du also explizit SPF Records für Subdomains haben willst, musst du diese einrichten.
So lese ich das auch hier: http://www.open-spf.org/FAQ/The_demon_question/

 

[h00bi]

https://www.spf-record.de/generator

ich mag den, weil er ausliest und gleich zum editieren einlädt.

 

[Bob.Dig]

@snaxilian Ich entnehme für mich aus deinem Link vor allem, wenn eh kein A- oder MX-Record besteht, dann ist hier auch nichts weiter im Rahmen des Sender Policy Frameworks zu veranlassen. Es würde nur Sinn machen, alle bestehenden Sub-Domains, A- und MX-Records zu exkludieren.
Für Subdomains scheint SPF auserdem nicht zuständig zu sein, es erfordert immer einen separaten Eintrag.

Also es läuft nicht so, wie ich dachte, sondern irgendwie anders. 😉

Was das von dir beschriebene Selbsttesten betrifft, das geht mir zu weit in meinem Hobbyanspruch aka ich hab keine Ahnung.

 

[TheCadillacMan]

Ein Wildcard-DNS-Eintrag gilt für alle Subdomains sofern kein spezifischer Eintrag existiert. Die Root-Domain braucht einen eigenen Eintrag.
Folgendes sollte also funktionieren: Du könntest als Wildcard und auf der Hauptdomain einen SPF-Record mit Deny-All anlegen und auf der Subdomain die du für Mail verwendest einen entsprechenden positiven SPF.

 

[Bob.Dig]

Ein Wildcard-DNS-Eintrag gilt für alle Subdomains sofern kein spezifischer Eintrag existiert.

Quelle? Ich lese auch, dass es wildcard mx server gibt. Alles neu für mich bzw. da besteht wohl auch Verwechselungsgefahr?

 

[TheCadillacMan]

Das sind ganz normale DNS-Regeln, die nicht schwer zu finden sind: Wildcard DNS record

 

[Bob.Dig]

Das sind ganz normale DNS-Regeln, die nicht schwer zu finden sind: Wildcard DNS record

Ok, aber *.aaa.com würde nicht greifen bei email von @ccc.bbb.aaa.com.


Da ich keine Ahnung von den tatsächlichen Abläufen habe, die Frage aus dem Startpost nochmal anders gestellt:

Sollte ich als privater Besitzer einer eigenen Domain zum Wohle aller (bzw. meiner Domain) präventiv exkludierende SPF Records setzen oder ist das Schwachfug.

 

[snaxilian]

Zum Wohle aller solltest du ggf. nicht selbstständig öffentlich erreichbare Mailserver betreiben
Aber ich erlebe immer wieder diverse Unternehmen die nicht fähig sind, SPF korrekt zu setzen oder nicht verstehen was SPF macht und was nicht.

Wenn du immer irgendwelche Quellen willst: Die einzig relevante Quelle dürfte rfc7208 sein wo SPF im Detail beschrieben ist.

Ok, aber *.aaa.com würde nicht greifen bei email von @ccc.bbb.aaa.com.

Toll, du kannst klugscheißen Zum Glück steht im verlinkten Artikel zu DNS Wildcards auch wie man dies lösen kann.^^

präventiv exkludierende SPF Records setzen oder ist das Schwachfug.

Hilft nicht denn das wäre eine Sisyphusarbeit. Definiere die Mailserver die für deine Domains senden dürfen und verbiete alle anderen. So oder so schützt SPF niemand anderes sondern es schützt nur davor, dass ich Mails in deinem Namen versende und auch dann nur wenn der empfangende Mailserver SPF abfragt und auswertet.
Ansonsten hilft es auch, sich mal DMARC und DKIM anzusehen.

Mailserver sicher zu betreiben macht nur begrenzt Spaß und wenn du schon aus Zeitgründen Probleme damit hast ein bisschen SPF Records einfach auszuprobieren und zu testen, dann solltest du davon absehen, öffentlich erreichbare Mailserver selbst zu betreiben. Gerade das Thema Spam ist sehr schwammig und zeitfressend und manche Provider drehen da echt frei.
Die Telekomiker beispielsweise blocken immer mal wieder Mails von Servern wenn es auf der Webseite zu der Domain kein Impressum vorliegt selbst wenn die Domain exklusiv für Mail verwendet wird um nur ein Beispiel zu nennen.

 

[Bob.Dig]

Toll, du kannst klugscheißen Zum Glück steht im verlinkten Artikel zu DNS Wildcards auch wie man dies lösen kann.^^

Nope, was Du machst ist klugscheißen. Ich habe nur aufgezeigt, dass es so halt auch nicht geht.

Hilft nicht denn das wäre eine Sisyphusarbeit. Definiere die Mailserver die für deine Domains senden dürfen und verbiete alle anderen.

Ist jetzt nicht wirklich eine Antwort, denn ersteres ist ja eh schon definiert und zweiteres war ja die eigentliche Fragestellung.

Ansonsten hilft es auch, sich mal DMARC und DKIM anzusehen.

Läuft und war nicht das Thema.

Die Telekomiker beispielsweise blocken immer mal wieder Mails von Servern wenn es auf der Webseite zu der Domain kein Impressum vorliegt selbst wenn die Domain exklusiv für Mail verwendet wird um nur ein Beispiel zu nennen.

Mal geht es und mal nicht mit denen, die können mich aber gerne haben.

Zum Wohle aller solltest du ggf. nicht selbstständig öffentlich erreichbare Mailserver betreiben

Danke für das Gespräch.