SPF & Co. auf einen wichtigen Aspekt hinterfragt

Thor

Ich wende mich mal mit einer speziellen Frage und zwei Szenarien an unsere Mailcow-Experten.

Es geht im Wesentlichen um SPF, DKIM und DMARC.

Stellen wir uns zwei Szenarien vor.

Szenario 1:

Ein Mensch mit böser Absicht gibt sich als meine Bank aus und sendet mir in deren Namen eine E-Mail über Gmail zu.

Gmail - das wissen wir - prüft mittels SPFs, ob der Sender von der Bank autorisiert worden ist.

Weil das nicht der Fall ist, orientiert sich Gmail zwecks weiteren Vorgehens an DMARC.

Die Bank schützt mich wenn sie die Richtlinien (SPF, DKIM und DMARC) verwendet. Oder Gmail schützt mich, wenn die Bank es nicht verwendet, indem sie die E-Mails ablehnt.

Szenario 2:

Der Mensch, mit der bösen Absicht, sendet seine E-Mail direkt zu mir auf meinen schönen Mailcow-Server.

Nun schützt mich Gmail aber nicht, weil sie nicht Teil der Kette sind.

Jetzt kommt die eigentliche Frage:

Schaut Mailcow auch, ob der Sender von meiner Bank autorisiert ist?

Warum stelle ich diese Frage? Ich bin kein Mailserver Experte. Aber ihr seid es ohne jede Frage.

Ich meine, gelesen zu haben, dass SPF & Co. vor allem Empfänger schützt, die nicht wirklich eine E-Mail von mir erhalten haben. Also, wenn sich jemand als Thor ausgibt, es aber nicht ist.

Aber was ist mit uns selbst? Profitieren wir auch von diesen Richtlinien? Beziehungsweise schützt uns unser Mailcow-Server auch, wenn sich jemand als eine vertrauenswürdige Person ausgibt?

Wenn dem so ist, sollte man ja nahezu nur noch von Leuten penetriert werden können, die uns von ihrem eigenen oder von einem kompromittierten Server anschreiben.

Freue mich auf eure Antworten und bedanke mich auch nochmal für die letzte große Hilfe zu den Cipher-Suites.

Gruß

Thor

esackbauer

Du weisst schon, dass das nichts mailcow spezifisches ist? Ehrt uns, dass du trotzdem hier fragst 😉

Im wesentlichen bedeutet SPF dass Mails von einer bestimmten Domain nur von bestimmten IP Adressen dafür vorgesehener Mail Server (MTAs) kommen darf)
Ich kann aber den Namen der mit der Mail mitkommt frei vergeben, z.b. “Olaf Scholz”. Wenn ich jetzt versuche eine Mail zu verschicken als “Olaf Scholz” mit der Absender oder Antwort-Adresse “olaf.scholz@bundeskanzler.de” dann wird das rein theoretisch funktionieren, da ich immer einen Mailserver finde über den ich es versenden kann. Ich kann mir ja zur not selber einen aufsetzen. Gmail mag das prüfen, oder auch nicht, man kann sich nicht darauf verlassen.
Die Mail landet im Spam-Ordner des Nutzers. Selten dass ein SPF FAIL oder DKIM FAIL zu einem Reject führt, weil es leider viele falsch konfigurierte Mailserver gibt.

Wenn ich mir die Domäne “bundes-kanzler.de” kaufe oder “bundeskanzler-scholz.de”, dann habe ich natürlich volle Kontrolle über SPF, DKIM, DMARC etc. und die Mail geht in jedem Fall durch.

Das letzte Wort bei der Kontrolle auf Authentizität muss daher immer der User selbst übernehmen.

Thor

esackbauer Du weisst schon, dass das nichts mailcow spezifisches ist?

Mhm, Mailcow ist doch ein umfassendes System, wozu SPF, DKIM und DMARC zählen. Mailcow erhebt - so habe ich das verstanden - den Anspruch, ein gutes und sicheres System zu sein. Ich bin mir daher sicher, dass das Thema hier gut hinpasst.

Damals konnte man tatsächlich ohne Weiteres mittels PHP mail(); E-Mails im fremden Namen versenden. Das geht zwar heute auch, aber SPF & Co. helfen, dies zu verhindern.

Wenn ich mich als olaf.scholz@bundeskanzleramt.de ausgebe, sollte Mailcow als empfangender Server prüfen, ob sich die Absender IP im SPF des Kanzleramts befindet. Falls nicht, regelt DMARC das Weitere.

Ob die Mail im Spam landet, entscheidet die Richtlinie. Ich würde das nicht zulassen, dass es im Spam landet, weil ein Mitarbeiter glauben könnte, die Mail sei versehentlich dort gelandet. Man ist das ja schon gewohnt. Und so kann es passieren, dass eine gefährliche Mail geöffnet wird.

Für uns ist es wichtig, dass Mailcow auch Gebrauch von den Richtlinien macht und diese Umsetzt. Wenn du sagst, Mailcow habe nichts mit SPF & Co. zu tun, beziehst du das womöglich darauf, dass das Einträge sind, die im DNS stehen. Hier muss man zwischen dem Eintrag im DNS und der Durchsetzung der Richtlinie unterscheiden. Der blanke Eintrag macht nur dann Sinn, wenn es eine Instanz gibt, die die Richtlinie letztlich umsetzt. Und das macht Mailcow oder ein integriertes Produkt.

Man kann sich auf Google und Co. tatsächlich nicht verlassen. Das heißt aber nicht, sich auf Mailcow nicht verlassen zu können. Das heißt, wir sind gefordert, unser System bzw. unser Postfach zu schützen.

Und ja, wenn du die domain bundes-kanzler.de registierst, kannst du Mails davon versenden, die auch ihr Ziel finden. Aber das ist nicht Aufgabe von SPF & Co., dies zu verhindern.

Aufgabe ist es, andere Personen davor zu schützen, dass sie tatsächlich ihre E-Mail von bundes-kanzler.de erhalten. Wenn ich mich jetzt als bundes-kanzler.de ausgebe, schützt deine Konfiguration mein Opfer, weil du mich nicht autorisiert hast. So käme meine Fakemail dank deiner Konfiguration bei denen gar nicht an.

Im Grunde war meine Frage, ob Mailcow das auch für uns macht. Gibt sich jemand mit böser Absicht als meine Bank aus, sollte Mailcow prüfen, ob der Absender von meiner Bank autorisiert ist. Falls nicht, regelt DMARC das weitere Vorgehen.

Ich hoffe, den Grundgedanken verständlich rübergebracht zu haben.

esackbauer

Thor ob sich die Absender IP im SPF des Kanzleramts befindet.

Das macht der auch. Das Problem bei SPF ist dass es 4 verschiedene Stufen gibt die jemand in den SPF record stecken kann.
Man kann rigoros sagen alles was nicht erlaubt ist, ist verboten, aber auch alle nicht explizit erlaubten Server “grosszügig” zu behandeln.
https://de.wikipedia.org/wiki/Sender_Policy_Framework#Aufbau_eines_SPF-Records

DMARC aggregiert nur die Infos aus SPF und DKIM Prüfung.

Also wie konfigurierst du nun mailcow? Was wenn jemand “~all” drin hat, und die Mail durchgeht? Du müsstest jede andere Partei mit der du kommunizierst dazu zwingen, dass die das auf “-all” ändern.
Das ist unmöglich.
Gelebte Praxis ist auch bei “-all” die Mail anzunehmen und in den Spamordner zu stecken.

Thor Ob die Mail im Spam landet, entscheidet die Richtlinie.

Auf welcher Grundlage? Vielleicht gibts schon Probleme wenn du Mails abweist. Was wenn jemand keinen SPF/DMARC Record hat und Mails von einer “hilfsdomäne” schickt?

Thor Eintrag im DNS und der Durchsetzung der Richtlinie unterscheiden.

Den Eintrag im DNS liegt nicht in deinem Einflussbereich, sondern beim Absender.
Die Durchsetzung der Richtlinie geht nur dann wenn es überhaupt einen Eintrag im DNS gibt, und der obendrein korrekt eingestellt ist. Das ist zwar mittlerweile ein Standard geworden, verpflichtend ist es aber nicht, und man erlebt immer wieder Überraschungen wer alles nicht mit SPF versendet, oder vergessen hat den SPF anzupassen.

Thor Das heißt, wir sind gefordert, unser System bzw. unser Postfach zu schützen.

Ja und das geht eben nicht zu 100%, jedenfalls nicht mit mailcow alleine. Abhilfe würde da nur PGP oder SMIME signierte/verschlüsselte Mails schafften, weil die Ende zu Ende auf Authentizität prüfbar sind. Obwohl ich auch von “bundes-kanzler.de” korrekt SMIME signierte Mails schicken kann. Wer die Domain besitzt, hat die Hoheit auch die Zertifikate dazu auszustellen.

Thor Aufgabe ist es, andere Personen davor zu schützen, dass sie tatsächlich ihre E-Mail von bundes-kanzler.de erhalten.

Wie ich erklärt habe geht das eben nicht mit SPF, DKIM und DMARC. Das würde nur gehen wenn man Domain-Sperrlisten pflegt. Solche Listen heissen RHSBL und man kann sie in mailcow einbinden.
Die sind aber auch nicht 100% aktuell und sicher. Eine Domain kann ich in 3 Minuten kaufen und anlegen.
Und wenn ich bei einem nicht vorhandenem oder falschen/laxen SPF Eintrag von “bundeskanzler.de” sende dann nützt mir diese Blockliste auch nix.

Thor Aufgabe ist es, andere Personen davor zu schützen, dass sie tatsächlich ihre E-Mail von bundes-kanzler.de erhalten.

Das ist eben nicht zu 100% möglich. Es wird immer etwas durchrutschen, vor allem neu angelegte Domains.
Es ist effizienter seinen Usern regelmäßig einem Phishing Test zu unterziehen.

Thor

esackbauer Glaubst du, man könne das hier technisch nicht umsetzen?:

Ein Absender gibt sich illegal als Amazon aus (aber nicht als ama-zon.de).

Mailcow empfängt dessen E-Mail und prüft, ob die Sender-IP von Amazon autorisiert ist.

Weil das nicht der Fall ist, verwirft unser Mailcow die E-Mail unabhängig davon, was Amazon als Richtlinie definiert hat.

Wir könnten selbst bestimmen, wie Mailcow vorgeht.

Behalten, verwerfen oder ins Spam verschieben.

Wenn Mailcow das so umsetzt, kann sich uns gegenüber niemand mehr als existierender Dritter ausgeben.

esackbauer

Thor Mailcow empfängt dessen E-Mail und prüft, ob die Sender-IP von Amazon autorisiert ist.

Diese Aufgabe übernimmt der SPF record. Vermutlich wird der bei Amazon stimmen, kann aber eben nicht für jeden Absender/Domain garantiert werden.
https://mxtoolbox.com/SuperTool.aspx?action=mx%3aamazon.de&run=toolpage
Wie man sieht haben die einen harten “-all” drin. Man kann diese also schon rejecten beim Empfang, wenn die IP nicht stimmt.

Thor Weil das nicht der Fall ist, verwirft unser Mailcow die E-Mail unabhängig davon, was Amazon als Richtlinie definiert hat.

Wo soll die Information dazu herkommen? Wer pflegt diese? Amazon?
Es gibt ja bereits genau eine Infoquelle dazu und das ist der SPF Record.

Thor

esackbauer Ich vermute, wir reden die ganze Zeit aneinander vorbei.

Eigentlich interessiert es nur, ob die IP von Amazon selbst ist oder von Amazon autorisiert wurde.

Daraus resultiert, dass entweder Amazon der Versender ist oder jemand, der berechtigt ist, es in deren Namen zu dürfen.

Die Richtlinie mit ‘_all, -all, etc…’ juckt gar nicht.

Wenn Mailcow feststellt, dass die IP weder von Amazon selbst oder noch von einem berechtigten stammt, wendet Mailcow seine eigene Regel an.

Ich könnte von Hand Folgendes tun:

Ich bekomme eine E-Mail von Amazon, bin mir aber nicht sicher, ob sie tatsächlich von denen ist.

Ich entnehme die IP aus dem Header der E-Mail und prüfe mittels nslookup, ob sie von Amazon stammt.

Falls nicht, lese ich den DNS-Record von Amazon aus und schaue, ob sich darin die IP befindet.

Falls nicht, lösche oder ignoriere ich die E-Mail.

Das, was ich von Hand gemacht habe, könnte Mailcow automatisiert durchführen.

esackbauer

Thor ob die IP von Amazon selbst ist oder von Amazon autorisiert wurde.

Dir ist schon klar dass Amazon ein sehr großer Bereich an Adressen gehört, die für Kunden (EC2 und ihr eigener Relay Service für Kunden SES) verwendet wird?
Ein nslookup nutzt dir da gar nichts.
Deshalb gibt es ja SPF. Der enthält nur IP Adressen die von Amazon für die Domains, von denen Amazon mails schickt, freigegeben wurden.
DKIM, also diejenigen die einen Schlüssel haben die mails zu signieren ist ein weiterer Nachweis dass die Mail wirklich von Amazon kommt.
Aber auch das ist nicht immer ein verlässlicher Indikator. Ich habe z.B. für Benachrichtigungen der Behörde die Corona-Impftermine vergeben hat keine Mails bekommen (oder wenn dann im Junkmail) weil die falsch DKIM signiert waren. Das passiert eben.
Ich habe dann auf Wunsch meiner User die Einstellung so gemacht, dass die als Spam entsprechend markiert werden, und nicht sofort rejected wurden.

Daher meine Meinung: Mailcow ist von haus aus soweit sicher wie es Sinn macht. Wer es noch sicherer machen will, sollte sich beraten lassen, aber auch gleichzeitig akezptieren dass dann mal was nicht mehr geht. Da ist viel Erfahrung und Spezialwissen gefragt, und eigentlich muss man erstmal eine Risikoanalyse machen um überhaupt konkrete Massnahmen daraus ableiten zu können.

DocFraggle

@Thor wenn es Dir darum geht ob mailcow SPF, dkim und Co bei eingehenden Mails prüft: ja.

Thor

DocFraggle Danke! Das heißt, wenn jemand vorkaukelt, beispielsweise Amazon zu sein, reagiert Mailcow entsprechend. Was würde da genau passieren? Und wie kann ich das beeinflussen? Greifen da die Richtlinien aus dem DNS?

DocFraggle

Thor Was würde da genau passieren

rspamd vergibt Punkte für SPF Violation etc, ab einer gewissen Punktzahl wird die Mail als Spam eingestuft

Thor wie kann ich das beeinflussen

rspamd anpassen, aber ich würde die Standard Einstellungen nicht anfassen

Thor Greifen da die Richtlinien aus dem DNS?