SpamAssassin & SPF Fail

Kümmert sich ein Unternehmen wenig um die Server welche E-Mails versenden dürfen, wird oft der SoftFail-Parameter im SPF-Record gesetzt. Das heißt, auch E-Mails von nicht eingetragenen Server sollen "vorsichtig" zugestellt werden bzw. der Empfänger soll einen Fehlschlag bei der Überprüfung großzügig behandeln.

-all ... Direktive für Fail

~all ... Direktive für SoftFail

Kleine Unternehmen vernachlässigen das Setzen des SPF-Record oft, sind aber auch seltener Opfer von "in ihrem Namen" versendeten gefälschten E-Mails.

Organisation mit hohem Vertrauensanvorderungen kümmern sich oft auch um richtige SPF-Records. Ruft man den SPF-Record des Finanzamtes von Österreich ab so erhält man für alle Absender mit der Endung @bmf.gv.at die Direktive Fail zurück. E-Mails von nicht eingetragenen Servern sind also nicht autorisiert und sollen daher auch so behandelt werden. Sie landen üblicherweise im Spam oder werden sofort gelöscht.

host -t txt bmf.gv.at
bmf.gv.at descriptive text "v=spf1 a:mailx99.cna.at a:mailm99.cna.at include:_spf.cna.at include:_spfm.cna.at -all"

 

Es gibt jedoch große Organisation wie DHL, die ihre Versandbenachrichtigungen in großer Zahl per E-Mail verschicken, ihren SPF-Record jedoch auf SoftFail setzten. DHL ist jedoch regelmäßig Opfer von gefälschten Mails und Empfänger dieser Betrugsmails können diese oft nicht von den Originalen unterscheiden. Schlägt die normale Spamerkennung fehl, ist hier die Prüfung des SPF-Records durch das System sinnlos, da ja trotz Fehlschlag "großzügig" mit der Mail umgegangen werden soll.

host -t txt dhl.com
dhl.com descriptive text "v=spf1 include:dpdhl._spf.dhl.com include:3a._spf.dhl.com include:3b._spf.dhl.com include:3c._spf.dhl.com include:3d._spf.dhl.com include:3e._spf.dhl.com include:3f._spf.dhl.com include:mrsc._spf.dhl.com include:e2ma.net include:spf.mandrillapp.com ~all"

 

Um unsere Empfänger nun auf Fails & Softfails aufmerksam zu machen, wollen wir nun alle E-Mails welche von "nicht eingetragenen/autorisierten Servern" verschickt wurden, gesondert kennzeichnen um auf einen möglichen Betrug aufmerksam zu machen und auf besondere Vorsicht hinzuweisen.

Konfigurationsmöglichkeiten

Um die SofFail-Erkennung nun so zu konfigurieren, dass als Spam erkannte E-Mails weiterhin in den Spamordner verschoben, aber bei SoftFails der Betreff abgeändert wird, die Mail selber jedoch im Posteingang bleibt gibt es zwei Konfigurationsmöglichkeiten.

Direkte Integration über Dovecot

SpamAssassin, Dovecot & SPF Fail

Erkennung über IMAP Spam-Scanner

SpamAssassin, IMAP Spam-Scanner & SPF Fail

Kommentare

Was ist die Summe aus 3 und 7?