hm, der Übertöter Emotet ist ja wieder angeblich ganz fürchterlich unterwegs, angeblich mit Absendern aus $BUNDESBEHÖRDE.
Was macht denn das BSI gegen Fälschungen?
SPF können sie:
~$ host -t txt bsi.bund.de. bsi.bund.de descriptive text "v=spf1 mx ip4:77.87.228.72/29 ip4:77.87.224.104/29 ip4:217.6.125.154 ip4:194.95.66.8 ip4:77.87.229.56 ip4:93.190.68.25 -all" ~$
DMARC?
~$ host -t txt _dmarc.bsi.bund.de. _dmarc.bsi.bund.de has no TXT record ~$
Äh… Man beachte: “no TXT record” und nicht etwa NXDOMAIN
~$ host -t any _dmarc.bsi.bund.de. _dmarc.bsi.bund.de has RRSIG record MX 8 3 900 20191230103401 20191220103401 51858 bund.de. kuoQ+exINaIT5x11aNmdnl+XTXsVSmZ6jzugcM3w89zOP0gjLvnPakPT 8ITeezOESdMuGpXHeCPMZaTLeHgGT5on2e4+1cu6fxV1+qyjurmBw9bx ilRBHSN2wwGytUkGwQ4uJDEfCt3tvPweCx08yBZ6Jk1Faf0EaL0Lm4EA 13E= _dmarc.bsi.bund.de mail is handled by 10 mx1.bund.de. _dmarc.bsi.bund.de mail is handled by 10 mx2.bund.de. ~$
Ob man any-Anfragen wirklich beantworten möchte? So im Alter von DNS-reflections? Aber warum zum Geier hat man MX-RRs für _dmarc? Aber eben keinen TXT-RR?
Das DNSSEC machts wohl auch nicht besser…