[Rozw.] SPF

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

gogol
Użytkownik
Posty: 98
Rejestracja: 2007-10-19, 12:55
Lokalizacja: /earth/europe/poland

[Rozw.] SPF

Post autor: gogol » 2009-03-06, 15:09

witam

szukalem na forum oraz w sieci ale nie znalazlem nic co by na "chlopski rozum" opisalo jak to dziala a co wazniejsze jak tego uzywac.

zainteresowalem sie tym tematem bo dotknal mnie problem z tym zwiazany.

posiadam serwer pocztowy z domena abc.pl i po przyjsciu wiadomosci na x@abcd.pl przekierowuje maila na inny serwer (domena abcd.pl jest aliasem tylko). dokladnie mail idzie na serwer o2.pl. teoretycznie wszystko jest ok, ale kiedy jestem na koncie x@o2.pl i chce wyslac na x@abcd.pl (ktory przekierowuje finalnie na x@o2.pl) dostaje blad: "550 Bad SPF Records". jak to ugryzc?
Ostatnio zmieniony 2009-03-08, 11:50 przez gogol, łącznie zmieniany 1 raz.
"destiny is a fickle bitch" ;]

Awatar użytkownika
bzyk
Moderator w st. spocz.
Posty: 991
Rejestracja: 2004-06-05, 06:32
Lokalizacja: Pszczyna
Kontakt:

Re: [Rozw.] SPF

Post autor: bzyk » 2009-03-07, 21:24

http://www.openspf.org/ - pierwszy link z google.
Strona łopatologicznie wyjaśnia, ma piękne wizardy, sama za Ciebie pokaże jak skonfigurować rekordy. Wystarczy zajrzeć i wszystko stanie się jasne.
Aha, forwardy w spfie nie będą Ci działały.
In /dev/null no one can hear you scream.

Awatar użytkownika
intosh
Użytkownik
Posty: 243
Rejestracja: 2006-07-04, 13:34
Lokalizacja: Łódź
Kontakt:

Re: [Rozw.] SPF

Post autor: intosh » 2009-03-08, 08:31

Wielu dostawców usług pocztowych używa już SPF, nie wielu odrzuca miale na podstawie wpisów SPF.

Krótko, SPF to Sender Policy Framework i jest to po prostu wpis w DNS dla danej domeny. Wpis ten mówi jakie adresy IP są upoważnione, albo i nie do wysyłania poczty w imieniu danej domeny.

Jak spradzić czy domena ma SPF:

Kod: Zaznacz cały

$ host -t txt o2.pl
o2.pl                   TXT     "v=spf1 ip4:193.17.41.0/24 ip4:193.222.135.0/24 ip4:212.126.20.0/25 ip
4:195.200.214.0/24 -all"
Domena o2.pl ma SPF i upoważnia zakresy IP: 193.17.41.0/24, 193.222.135.0/24, 212.126.20.0/25, 195.200.214.0/24 do wysyłania poczty z tej domeny. Wpis na samym końcu "-all" - oznacz odrzuć pozostałe adresy IP próbujące słać jako o2.pl.

Łopatologicznie:
Wysyłając maila z o2.pl gdzieś i z tego gdzieś przekierowyjąc go z powrotem na o2.pl rozbijasz się o politykę o2.pl i ich ustawienia SPF dla domeny o2.pl.

Serwer o2.pl sprawdza rekord SPF dla maila, którego otrzymuje i ten twój serwer co przekierował maila na o2.pl nie jest na liscie autoryzowanych adresów IP. Serwer odrzuca taki list.

Warto wspomnieć, że do działania SPF potrzebne jest kilka rzeczy: wpis w DNS (podstawa) i serwer potrafiący obsłużyć wpisy SPF, sam SPF ma kilka metod filtracji i nie koniecznie musi być tak restrykcyjny jak w wypadku o2.pl. Sam serwer też może decydować jak mocno chce zaufać wpisom SPF dla maili z innych domen.

Temat długi i ciekawy, warto o tym poczytać jak się ma serwer pocztowy. W sumie to nawet bym powiedził, że to lektura obowiazkowa. Warto też popatrzeć jak duży dostawcy usług (google, microsoft, yahoo) podchodzą do sprawy.

[ Dodano: 2009-03-08, 08:49 ]
Na pytanie jak to ugryźć można powiedzieć tak: nie da rady.

Moim zdaniem forwardowanie maili powinno wyglądać tak:

1. dostaję maila z a@a.pl na b@b.pl
2. mam wysłać maila z a@a.pl na c@c.pl (forward)
3. wysyłam maila ze zmienionym nadawcą z serwera robiacego forward (b.pl) w formie: FROM: b-a_a.pl@b.pl TO: c@c.pl

W powyższy sposób przekierowyjąc maila wysyłam go z adresem FROM a mojej domeny a nie czyjejś z jakiej przyszedł mail do przeforwardowania.

Moim zdaniem takie zachowanie przy forwardzie jest bardzo ładne bo nie rozsyłam dalej maili w imieniu czyjejś domeny i odpowiadającego tej domenie czyjegoś mail serwera. Nie oszukujmy się tak robią spamerzy. Problem tylko jak odpowiedzieć nadawcy w tak przeforwardowanym mailu. Serwer (b.pl) obsługujący rozszerzenie VERP (qmail i pewnie inne) na pewno odbierze maila odpowiedź od c@c.pl na adres TO: b-a_a.pl@b.pl i dostarczy na konto b@b.pl.

Tylko w powyższym pewnie było by fajnie jakby adresat pierwotnego maila (a@a.pl) dostał maila bezposrednio od c@c.pl.
Ostatnio zmieniony 2009-03-08, 08:33 przez intosh, łącznie zmieniany 1 raz.
:: everyone in the world is doing something without me ::

gogol
Użytkownik
Posty: 98
Rejestracja: 2007-10-19, 12:55
Lokalizacja: /earth/europe/poland

Re: [Rozw.] SPF

Post autor: gogol » 2009-03-08, 11:50

bzyk pisze:http://www.openspf.org/ - pierwszy link z google.
Strona łopatologicznie wyjaśnia, ma piękne wizardy, sama za Ciebie pokaże jak skonfigurować rekordy. Wystarczy zajrzeć i wszystko stanie się jasne.
Aha, forwardy w spfie nie będą Ci działały.
potrafie uzywac google ale informacje tam zawarte nie byly dla mnie wystarczajaco jasne.

intosh, podsumowujac - nie da rady i koniec. dzieki za wytlumaczenie w sposob przystepny.
"destiny is a fickle bitch" ;]

ODPOWIEDZ