Spammer nutzen SPF, DKIM und DMARC besser aus

 (toad.social)
14 Punkte von GN⁺ 2025-03-26 | 2 Kommentare | Auf WhatsApp teilen
  • E-Mail-Authentifizierungsmethoden wie DMARC, SPF und DKIM werden zwar eingesetzt, um Spam zu reduzieren, in der Praxis werden sie jedoch von Spam-Versendern besser ausgenutzt.
  • Diese Authentifizierungsmethoden bringen den meisten Absendern kaum Vorteile, und die Ablehnung von E-Mails auf Basis fehlgeschlagener Authentifizierung kann sogar schädlich sein.
  • Spam-Versender wissen genau, wie sie günstige Domains kaufen und die Authentifizierung bestehen können.

E-Mail-Weiterleitung und Gmail-Probleme

  • Gmail verlangt Authentifizierung wie DMARC, was bei der E-Mail-Weiterleitung Probleme verursachen kann.
  • Bei der E-Mail-Weiterleitung kann SPF beschädigt werden, während DKIM erhalten bleibt, solange weder Inhalt noch Header verändert werden.
  • Die POP3-Abruffunktion von Gmail lässt sich nur schwer manuell auslösen, und die automatischen Intervalle sind eher lang.

Grenzen der E-Mail-Authentifizierung

  • E-Mail-Authentifizierung verhindert das Vortäuschen bestimmter Domains, stoppt aber keinen Spam über ähnliche Domains oder Tippfehler-Domains.
  • Authentifizierung ist nützlich, um die Identität des Absenders zu prüfen, hat aber nichts mit Autorisierung zu tun.
  • Spam-Versender können Authentifizierungsrichtlinien festlegen, was bei der Kontrolle von Spam eine gewisse Rolle spielen kann.

Spam-Abwehr und E-Mail-Sicherheit

  • Zur Spam-Abwehr werden verschiedene Methoden eingesetzt, aber es gibt keine perfekte Lösung.
  • Dienste wie Spamhaus sind nützlich, um Spam zu blockieren, können aber False Positives verursachen.
  • E-Mail-Sicherheit erfordert kontinuierliche Pflege und Updates.

Verwandte Beiträge

2 Kommentare

 
GN⁺ 2025-03-26
Hacker-News-Kommentare

  • Als jemand, der einen privaten Mailserver betreibt, stelle ich fest, dass ständig russische IP-Adressen versuchen, E-Mails mit meinem Domainnamen zu versenden

    • Wer beruflich E-Mails verschickt, weiß in der Regel, wie man E-Mail-Einstellungen korrekt konfiguriert
    • Es ist überraschend, wie viele Systemadministratoren nicht einmal die grundlegenden Einstellungen richtig hinbekommen
    • Wenn man eine DMARC-E-Mail erhält, dass Sendgrid-E-Mails wegen einer fehlerhaften SPF-Signatur abgelehnt werden, sollte man das Marketing fragen, ob es das legitim verwendet
    • Automatische Signaturen haben nur begrenzten Wert, aber Ablehnungen auf Basis von SPF und DKIM sind nur selten ein Irrtum
    • In großen Organisationen mag die Lage schlimmer sein, aber bei kleinen Mailservern ist eine technische Ablehnung meist die richtige Entscheidung
    • Mailinglisten sind eine Ausnahme, aber wer sie nutzt, kann auch herausfinden, wie man Ausnahmen hinzufügt

  • Ich habe SPF, DKIM und DMARC korrekt eingerichtet und eine Domain mit Spam-Score 0, aber trotzdem das Problem, dass meine E-Mails im Spam-Ordner landen

    • Damit E-Mails von Gmail akzeptiert werden, braucht man „Reputation“
    • Wenn E-Mails direkt im Spam landen, ist unklar, wie diese Reputation überhaupt aufgebaut werden soll
    • E-Mails von LinkedIn sind offenbar kein Spam, und ihre Dark Patterns führen trotz Eintragung in Mailinglisten nicht zu einer Sperre

  • SPF/DKIM hängen mit der Reputation des Mailservers zusammen

    • Davon profitieren vor allem große Server wie Google, Microsoft und Yahoo
    • Die Anti-Spam-Maßnahmen großer Anbieter schaden kleineren Anbietern
    • Man sollte nicht die Reputation von Mailservern verfolgen müssen, sondern die des Absenders
    • Es sollte möglich sein, anonyme E-Mails anders zu behandeln als E-Mails von Personen, die man tatsächlich kennt
    • Derzeit gibt es keine sichere Möglichkeit für einen bekannten E-Mail-Absender, einen unbekannten Absender einzuführen

  • SPF und DKIM stoppen Spam nicht vollständig, aber DMARC ist vermutlich nutzlos

    • Da auch Spammer diese Standards lesen können, verhindern SPF/DKIM Spam nicht vollständig
    • Vor der Einführung von SPF/DKIM bekam man viele Phishing-Mails mit Adressen wie support@paypal.com
    • Paypal kann mit SPF klar angeben, welche IP-Adressen erlaubt sind, und mit DKIM seine Mails verifizieren
    • Spamassassin senkt den Spam-Score für Mails mit korrektem DKIM und von paypal.com deutlich

  • Der Zweck von SPF/DKIM/DMARC ist es, E-Mails an Domains zu binden und so Spoofing zu verhindern

    • Zu erwarten, dass Authentifizierung allein Spam reduziert, ist naiv

  • Google ist schlecht bei SPF und DKIM

    • Vor einigen Monaten wollte ich per E-Mail auf eine Nachricht im Chromium-Bugtracker antworten, aber es scheiterte
    • Die E-Mail wurde nicht verarbeitet, weil die SPF/DKIM-Prüfung fehlgeschlagen sei
    • Mit meinem SPF und DKIM war alles in Ordnung
    • Das Tool, das man laut Google Workspace bei der Einrichtung verwenden soll, funktioniert seit langer Zeit nicht richtig
    • Auch der Feedback-Link funktioniert nicht ordentlich

  • Ich betreibe einen privaten Mailserver, und der meiste Spam besteht SPF/DKIM nicht

    • In den letzten Jahren ist der Anteil des Spams, der diese Prüfungen besteht, gestiegen
    • 90–95 % der erwarteten E-Mails bestehen SPF/DKIM
    • Ich setze strikte Absenderregeln durch
    • Ich habe meine E-Mail-Adresse auf der Website veröffentlicht und bekomme trotzdem fast keinen Spam

  • Ich betreibe einen einfachen heuristikbasierten Spamfilter

    • Ich prüfe ausgehende Mails, und Mails mit einer von mir gesendeten Adresse oder einem von mir gesendeten Betreff markiere ich nicht als Spam
    • Spam von neuen Adressen wird als ungelesen markiert
    • Dinge wie Abonnementbestätigungen erscheinen oben im Spam-Ordner

  • Ich bin mit meiner Mail zu Proton gewechselt, und das Hinzufügen und Verifizieren der DNS-Einträge war sehr einfach

    • Anfangs hatte ich Respekt vor diesem Schritt, aber es ließ sich leicht lösen

  • Ich dachte, der Wert von SPF, DKIM und DMARC liege darin, dass Reputation von IP-basiert auf domainbasiert verlagert wird

    • Ich hatte erwartet, dass man bei guter Domain-Reputation und korrekt eingerichteten SPF, DKIM und DMARC einen SMTP-Server von jeder IP aus hosten kann
    • Ich frage mich, warum es nicht so funktioniert