@nvi @adi Da wage ich zu widersprechen. Bei meinem letzten Adminjob haben wir SPF Checks schliesslich abgeschaltet, weil sie die Filterung unterm Strich verschlechtert haben.

@p2501 @adi
Öhm, dann solte man sich Gefanken über die Filter-Config machen, nicht die SPF-checks ganz ausmachen....

@nvi @adi Der Punkt ist: Spam blieb nie in den Checks hängen, dafür aber immer wieder legitime Mails.

Ich war mal grosser Fan von SPF, inzwischen aber desillusioniert. Es ist für Spammer zu einfach zu umgehen, und für legitime Server zu einfach zu verbocken.

@p2501 @adi
Schlecht bis ungewartete Mailserver machen einem alle möglichen Probleme. Wer nichtmal nen SPF-record hingepöngelt bekommt, dem traue ich nicht zu, mail zu machen.
Wenn's mal mehr als nur 10k Mails am Tag sind willst du schon jeden MTA, der auch nur ansatzweise nicht auf Linie ist komplett raus haben. Das sind gerne auch die Kandidaten, die mit uralt-TLS (wenn überhaupt) um die Ecke kommen oder mitten in der session wegsterben.

@nvi @adi Die Argumentation kann ich durchaus nachvollziehen. Wie gesagt: Hätte sich ein Nutzen von SPF nachweisen lassen, hätte ich zugestimmt. Dies war aber nicht der Fall, weil Spammer ganz einfach gültige SPF Records hinstellen können. Ohne Nutzen kein Argument.

@p2501 @adi
Geht dabei ja gar nicht primär um Spam. Geht darum, zu verifizieren, dass der envelope-from legitim ist. Dazu kommen dann Filter, die bei envelope-from != from den spamscore hochdrehen um beispielsweise vor Phishing-Versuchen zu warnen. Klar ist das nicht der Weisheit letzter schluss, schadet aber auch nicht, sofern man sich an CPs hält.

Und, das ganze bezog sich ursprünglich auf Gmail, also wirklich andere Dimensionen als ein Sportverein.

@nvi @adi Wir drehen uns im Kreis. Offensichtlich haben wir (und unsere Arbeitgeber) gegensätzliche Prioritäten.

@p2501 @adi
Da muss ich dir Recht geben

@nvi @adi Das sollte ich vielleicht ausführen: Es ging um einen Server für einen Sportverein. Unter diesen gibt es offenbar viele, wo mal SPF Records eingerichtet, später aber vergessen wurden. Dadurch schwirren viele falsche Records für Kleinserver rum.

@p2501 @adi
Tjo, man nimmt auch keine mails von ungewarteten Systemen an.

@nvi @adi Andere Vereine komplett abzuhängen war aber keine Option. Idealismus funktioniert nicht immer.

@p2501 @adi
Das hat weniger mit Idealismus zu tun als mit technischer Realität. Woanders werden deren Mails so ja auch kaum durchkommen.

Du würdest ja auch nicht Leute in Schutz nehmen, die mit den falschen TLS-certs um die Ecke kommen.

Abgesehen davon ist die Installation, Konfiguration und Wartung so viele größenordnungen mehr aufwand als mal nen DNS record geradezuziehen, dass ich da wenig Verständnis aufbringe.

@nvi @adi Tja, die Realität hier war nun mal, das mein Verein darauf bestand, mit den anderen Vereinen zu kommunizieren. Hätte sich ein Nutzen von SPF nachweisen lassen, hätte es vielleicht anders ausgesehen.

@p2501
Mir gingen mehrere Mails nach GMail verloren, hab dann selber einen Test gemacht, Mail kam nicht an, hab den SPF-Record gesetzt, kurz gewartet, neuen Test gemacht und dann kams an.

@adi Mein Testmail von einem Smarthost ohne SPF an meinen Gmail Account ging durch. Daher meine Vermutung, das etwas anderes für den Drop verantwortlich war, SPF das aber wieder übersteuert hat. DKIM hilft evtl. auch.