witam
szukalem na forum oraz w sieci ale nie znalazlem nic co by na "chlopski rozum" opisalo jak to dziala a co wazniejsze jak tego uzywac.
zainteresowalem sie tym tematem bo dotknal mnie problem z tym zwiazany.
posiadam serwer pocztowy z domena abc.pl i po przyjsciu wiadomosci na x@abcd.pl przekierowuje maila na inny serwer (domena abcd.pl jest aliasem tylko). dokladnie mail idzie na serwer o2.pl. teoretycznie wszystko jest ok, ale kiedy jestem na koncie x@o2.pl i chce wyslac na x@abcd.pl (ktory przekierowuje finalnie na x@o2.pl) dostaje blad: "550 Bad SPF Records". jak to ugryzc?
[Rozw.] SPF
Moderatorzy: Moderatorzy, Administratorzy
[Rozw.] SPF
Ostatnio zmieniony 2009-03-08, 11:50 przez gogol, łącznie zmieniany 1 raz.
"destiny is a fickle bitch" ;]
- bzyk
- Moderator w st. spocz.
- Posty: 991
- Rejestracja: 2004-06-05, 06:32
- Lokalizacja: Pszczyna
- Kontakt:
Re: [Rozw.] SPF
http://www.openspf.org/ - pierwszy link z google.
Strona łopatologicznie wyjaśnia, ma piękne wizardy, sama za Ciebie pokaże jak skonfigurować rekordy. Wystarczy zajrzeć i wszystko stanie się jasne.
Aha, forwardy w spfie nie będą Ci działały.
Strona łopatologicznie wyjaśnia, ma piękne wizardy, sama za Ciebie pokaże jak skonfigurować rekordy. Wystarczy zajrzeć i wszystko stanie się jasne.
Aha, forwardy w spfie nie będą Ci działały.
In /dev/null no one can hear you scream.
Re: [Rozw.] SPF
Wielu dostawców usług pocztowych używa już SPF, nie wielu odrzuca miale na podstawie wpisów SPF.
Krótko, SPF to Sender Policy Framework i jest to po prostu wpis w DNS dla danej domeny. Wpis ten mówi jakie adresy IP są upoważnione, albo i nie do wysyłania poczty w imieniu danej domeny.
Jak spradzić czy domena ma SPF:
Domena o2.pl ma SPF i upoważnia zakresy IP: 193.17.41.0/24, 193.222.135.0/24, 212.126.20.0/25, 195.200.214.0/24 do wysyłania poczty z tej domeny. Wpis na samym końcu "-all" - oznacz odrzuć pozostałe adresy IP próbujące słać jako o2.pl.
Łopatologicznie:
Wysyłając maila z o2.pl gdzieś i z tego gdzieś przekierowyjąc go z powrotem na o2.pl rozbijasz się o politykę o2.pl i ich ustawienia SPF dla domeny o2.pl.
Serwer o2.pl sprawdza rekord SPF dla maila, którego otrzymuje i ten twój serwer co przekierował maila na o2.pl nie jest na liscie autoryzowanych adresów IP. Serwer odrzuca taki list.
Warto wspomnieć, że do działania SPF potrzebne jest kilka rzeczy: wpis w DNS (podstawa) i serwer potrafiący obsłużyć wpisy SPF, sam SPF ma kilka metod filtracji i nie koniecznie musi być tak restrykcyjny jak w wypadku o2.pl. Sam serwer też może decydować jak mocno chce zaufać wpisom SPF dla maili z innych domen.
Temat długi i ciekawy, warto o tym poczytać jak się ma serwer pocztowy. W sumie to nawet bym powiedził, że to lektura obowiazkowa. Warto też popatrzeć jak duży dostawcy usług (google, microsoft, yahoo) podchodzą do sprawy.
[ Dodano: 2009-03-08, 08:49 ]
Na pytanie jak to ugryźć można powiedzieć tak: nie da rady.
Moim zdaniem forwardowanie maili powinno wyglądać tak:
1. dostaję maila z a@a.pl na b@b.pl
2. mam wysłać maila z a@a.pl na c@c.pl (forward)
3. wysyłam maila ze zmienionym nadawcą z serwera robiacego forward (b.pl) w formie: FROM: b-a_a.pl@b.pl TO: c@c.pl
W powyższy sposób przekierowyjąc maila wysyłam go z adresem FROM a mojej domeny a nie czyjejś z jakiej przyszedł mail do przeforwardowania.
Moim zdaniem takie zachowanie przy forwardzie jest bardzo ładne bo nie rozsyłam dalej maili w imieniu czyjejś domeny i odpowiadającego tej domenie czyjegoś mail serwera. Nie oszukujmy się tak robią spamerzy. Problem tylko jak odpowiedzieć nadawcy w tak przeforwardowanym mailu. Serwer (b.pl) obsługujący rozszerzenie VERP (qmail i pewnie inne) na pewno odbierze maila odpowiedź od c@c.pl na adres TO: b-a_a.pl@b.pl i dostarczy na konto b@b.pl.
Tylko w powyższym pewnie było by fajnie jakby adresat pierwotnego maila (a@a.pl) dostał maila bezposrednio od c@c.pl.
Krótko, SPF to Sender Policy Framework i jest to po prostu wpis w DNS dla danej domeny. Wpis ten mówi jakie adresy IP są upoważnione, albo i nie do wysyłania poczty w imieniu danej domeny.
Jak spradzić czy domena ma SPF:
Kod: Zaznacz cały
$ host -t txt o2.pl
o2.pl TXT "v=spf1 ip4:193.17.41.0/24 ip4:193.222.135.0/24 ip4:212.126.20.0/25 ip
4:195.200.214.0/24 -all"
Łopatologicznie:
Wysyłając maila z o2.pl gdzieś i z tego gdzieś przekierowyjąc go z powrotem na o2.pl rozbijasz się o politykę o2.pl i ich ustawienia SPF dla domeny o2.pl.
Serwer o2.pl sprawdza rekord SPF dla maila, którego otrzymuje i ten twój serwer co przekierował maila na o2.pl nie jest na liscie autoryzowanych adresów IP. Serwer odrzuca taki list.
Warto wspomnieć, że do działania SPF potrzebne jest kilka rzeczy: wpis w DNS (podstawa) i serwer potrafiący obsłużyć wpisy SPF, sam SPF ma kilka metod filtracji i nie koniecznie musi być tak restrykcyjny jak w wypadku o2.pl. Sam serwer też może decydować jak mocno chce zaufać wpisom SPF dla maili z innych domen.
Temat długi i ciekawy, warto o tym poczytać jak się ma serwer pocztowy. W sumie to nawet bym powiedził, że to lektura obowiazkowa. Warto też popatrzeć jak duży dostawcy usług (google, microsoft, yahoo) podchodzą do sprawy.
[ Dodano: 2009-03-08, 08:49 ]
Na pytanie jak to ugryźć można powiedzieć tak: nie da rady.
Moim zdaniem forwardowanie maili powinno wyglądać tak:
1. dostaję maila z a@a.pl na b@b.pl
2. mam wysłać maila z a@a.pl na c@c.pl (forward)
3. wysyłam maila ze zmienionym nadawcą z serwera robiacego forward (b.pl) w formie: FROM: b-a_a.pl@b.pl TO: c@c.pl
W powyższy sposób przekierowyjąc maila wysyłam go z adresem FROM a mojej domeny a nie czyjejś z jakiej przyszedł mail do przeforwardowania.
Moim zdaniem takie zachowanie przy forwardzie jest bardzo ładne bo nie rozsyłam dalej maili w imieniu czyjejś domeny i odpowiadającego tej domenie czyjegoś mail serwera. Nie oszukujmy się tak robią spamerzy. Problem tylko jak odpowiedzieć nadawcy w tak przeforwardowanym mailu. Serwer (b.pl) obsługujący rozszerzenie VERP (qmail i pewnie inne) na pewno odbierze maila odpowiedź od c@c.pl na adres TO: b-a_a.pl@b.pl i dostarczy na konto b@b.pl.
Tylko w powyższym pewnie było by fajnie jakby adresat pierwotnego maila (a@a.pl) dostał maila bezposrednio od c@c.pl.
Ostatnio zmieniony 2009-03-08, 08:33 przez intosh, łącznie zmieniany 1 raz.
:: everyone in the world is doing something without me ::
Re: [Rozw.] SPF
potrafie uzywac google ale informacje tam zawarte nie byly dla mnie wystarczajaco jasne.bzyk pisze:http://www.openspf.org/ - pierwszy link z google.
Strona łopatologicznie wyjaśnia, ma piękne wizardy, sama za Ciebie pokaże jak skonfigurować rekordy. Wystarczy zajrzeć i wszystko stanie się jasne.
Aha, forwardy w spfie nie będą Ci działały.
intosh, podsumowujac - nie da rady i koniec. dzieki za wytlumaczenie w sposob przystepny.
"destiny is a fickle bitch" ;]