[LUGA] Mit freundlicher Unterstützung von:
Linux New Media AG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] Bogus MX Records



On 2007-01-13 11:33:42 +0100, Bernd Krumböck wrote:
> >>Sorry, etwas unpräzise formuliert.
> >>
> >>Einfaches Beispiel:
> >>Mitarbeiter fährt auf Urlaub und leitet die Mail Adresse auf seine
> >>private GMX Adresse um, damit er diese simpel in jedem lausigen
> >>Internet Cafe abfragen kann. --> und schon kannst Du das Szenario mit
> >>SPF nicht mehr wirklich abbilden (zumindest nicht sehr elegant).
> >
> >(Abgesehen davon, dass man Firmen-Emails vielleicht nicht in jedem
> >lausigen Internet Cafe abfragen können soll)
> 
> (Squirrelmail über HTTPS wäre hier sicher besser)

Eigentlich nicht, weil Du keine Kontrolle über den Browser hast. Wenn
wer auf der Surfstation einen Keylogger installiert hat, ist der
Firmenaccount kompromittiert, dagegen hilft kein HTTPS. Da ist
weiterleiten auf GMX (aus Firmensicht) eher noch besser - da ist
wenigstens nur der GMX-Account kompromittiert.

(Am besten wäre eigenes Notebook oder PDA mit IMAPS (oder IMAP+STARTTLS)
oder VPN. Schleppt man halt vielleicht im Urlaub nicht gern mit sich
herum.)

> Das Thema Security ist bei Mail bereits verloren.

Ziemlich, ja.


> >Es ginge sogar sehr leicht, wenn die SPF-Jünger akzeptieren könnten,
> >dass sie dafür zu sorgen haben, dass es funktioniert, und nicht die
> >anderen.
> >
> >In Deinem Szenario passiert folgendes:
> >
[.forward-Problem]

> Abgesehen davon geht die umgekehrte Richtung auch nicht. Zumindest  
> wenn der Mitarbeiter das Mail unter seiner Firmenidentität (damit die  
> private GMX Adresse nicht aufscheint) absenden will. -->  keine  
> Ahnung ob GMX jetzt so etwas unterstützt

Du meinst, senden über GMX mit Firmenadresse als Absender? Meines
Wissens verhindert das GMX, aber das hat mit SPF nichts zu tun.

Mit SPF geht das, wenn Deine Firma entweder keinen SPF-Record
publiziert, oder explizit die GMX-MTAs in den eigenen Record inkludiert:

"v=spf1 mx:example.com include:gmx.net -all"

Prinzpiell hat bei SPF der Eigentümer der Domain die volle Kontrolle
darüber, von welchen IP-Adressen aus versendet werden kann.


> Das ganze Problem mit SPF ist, das es auf DNS Ebene ansetzt. --> das  
> hat aber mit einem MTA nicht viel zu tun, da ich auch ohne DNS Mails  
> versenden kann.

Im Internet ist es etwas schwierig, Mails zu versenden, wenn man weder
A- noch MX-Records findet ...

	hp

-- 
   _  | Peter J. Holzer    | Ich sehe nun ein, dass Computer wenig
|_|_) | Sysadmin WSR       | geeignet sind, um sich was zu merken.
| |   | hjp@hjp.at         |
__/   | http://www.hjp.at/ |	-- Holger Lembke in dan-am

Attachment: signature.asc
Description: Digital signature



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010