<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
Εμείς το ψάξαμε πρόσφατα και βάλαμε SPF record στο domain.<br>
Κυρίως το κάναμε με αφορμή έναν χρήστη που δεχόταν διάφορα spams που
δεν έπιαναν οι RBLs και είχαν σαν αποστολέα τον εαυτό του.<br>
<br>
Δεν μπορώ να πω ότι με ενθουσιάζει όπως πάει να λύσει το πρόβλημα το
SPF.<br>
Αν για παράδειγμα ρυθμίσεις το SPF με hardfail (-all) τότε πρέπει να
είσαι πολύ σίγουρος για το ποιούς mailservers χρησιμοποιήσεις ή σε
κάνουν Relay.<br>
Σε αυτούς προφανώς περιλαμβάνονται και οι mailing lists, οπότε αν
βάλεις hardfail policy θα πρέπει να προσθέσεις στο SPF όλους τους
mailservers των mailing lists που θέλουν να συμμετέχουν οι χρήστες
σου (με κάποια include, +a, +mx κλπ records).<br>
Αυτό προφανώς σε domains με πάρα πολλούς χρήστες (που θα ήθελα να
συμμετέχουν τυχαία σε διάφορες λίστες) είναι διαχειριστικό σκότωμα,
αλλά δεν μπορώ να σκεφτώ άλλη λύση, αν επιμένεις στο hardfail.<br>
<br>
Μάλλον τελικά η πιο λογική λύση είναι απλά να το βάλεις με softfail
(~all) και να αφήσεις τον απέναντι να αποφασίσει όπως νομίζει.<br>
Πάντως εμείς γλυτώσαμε κάποια spams ακόμα και με το softfail, οπότε
μάλλον καλό είναι να το έχεις έστω και έτσι...<br>
<br>
Δεν ξέρω αν έχω καταλάβει κάτι λάθος στα παραπάνω...<br>
Αν ξέρει κάποιος πως δουλεύουν εσωτερικά οι mailservers με το
softfail (διότι είναι θολά τα πράγματα στο documentation του SPF),
ας μας διαφωτίσει!<br>
Θα με ενδιέφερε κι εμένα να μάθω περισσότερα.<br>
<br>
<div class="moz-signature">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<style>
body, html { margin:0; padding:0; width:100%; }
#signature { background-color:#fff; width:100%; }
td { padding:5px; }
#logo img { padding-right:20px; border-right:1px solid #dedede; }
#cont { font-size: 14px; padding-left:0; width:100%; color: #555; vertical-align:top; font-family:arial;}
#cont h3 { margin: 15px; font-size: 14px; }
#cont div .key { float: left; width:30px; text-align: right; padding-left:15px; padding-right:10px; color: #666; }
#cont div .value { float: clear; color: #888 }
.comp { margin: 15px; font-size: 11px; }
img { border: none; }
a { color: #000055; }
</style>
<hr>
<table id="signature">
<tbody>
<tr>
<td id="logo"><a href="http://www.modulus.gr/" alt="Modulus
Α.Ε."><img src="cid:part1.00020909.06010307@modulus.gr"
onerror='this.onerror = null;
this.src="http://www.modulus.gr/media/logo-big-noeffects-small.png"'></a></td>
<td id="cont">
<h3>Νικαλέξης Νίκος</h3>
<div>
<div class="key">Τ:</div>
<div class="value">215 215 15 <b>12</b></div>
<div class="key">Κ:</div>
<div class="value">694 614 24 83</div>
</div>
<div class="comp">
<a href="http://www.modulus.gr/"><b>Modulus Α.Ε.</b></a><br>
Τηλ: 215 215 15 <b>00</b><br>
Fax: 215 215 15 <b>09</b><br>
Λ. Κηφισίας 118Δ,
Αθήνα, 115 26
</div>
</td>
</tr>
</tbody>
</table>
</div>
<div class="moz-cite-prefix">On 09/04/2015 12:36 μμ, Kostas
Zorbadelos wrote:<br>
</div>
<blockquote cite="mid:87zj6hwsmv.fsf_-_@otenet.gr" type="cite">
<pre wrap="">
Απαντώ στον εαυτό μου, γιατί από κόλλημα διάβασα παραπάνω στο
<a class="moz-txt-link-freetext" href="http://en.wikipedia.org/wiki/Sender_Policy_Framework">http://en.wikipedia.org/wiki/Sender_Policy_Framework</a>
Η γενική ιδέα είναι αυτή που είχα καταλάβει. Για τις mailing lists όμως
το πρόβλημα δεν υπάρχει καθώς ο list manager κάνει rewrite το
return-path (με λίγα λόγια στέλνει σαν owner της λίστας και όχι σαν ο
αρχικός αποστολέας, πράγμα λογικό).
Στο προκείμενο, τα {pc,<a class="moz-txt-link-abbreviated" href="mailto:board}@grnog.gr">board}@grnog.gr</a> μάλλον είναι aliases στο
mx0.grnet.gr και γίνεται forward από εκεί. Άρα προστέθηκε κάποιο mail
path που δεν ήταν valid με βάση την SPF πολιτική του grnet.gr.
Καταλαβαίνω την SPF τεχνική, εξακολουθεί να μη μου αρέσει ιδιαίτερα (σαν
ολοκληρωμένη πρόταση για αποφυγή spam) και θεωρώ το DKIM (αυτό που ξέρω
σαν ιδέα του) καλύτερη προσέγγιση. Βλέπω όμως ότι το SPF έχει διαδοθεί και
χρησιμοποιείται ευρέως.
Αν έχετε διάθεση για περαιτέρω κουβέντα, το ερώτημα: πόσοι από τους
συμμετέχοντες χρησιμοποιούν SPF στα domain τους; To θεωρείτε καλή ιδέα;
Κώστας
Kostas Zorbadelos <a class="moz-txt-link-rfc2396E" href="mailto:kzorba@otenet.gr"><kzorba@otenet.gr></a> writes:
</pre>
<blockquote type="cite">
<pre wrap="">Andreas Polyrakis <a class="moz-txt-link-rfc2396E" href="mailto:apolyr@noc.grnet.gr"><apolyr@noc.grnet.gr></a> writes:
</pre>
<blockquote type="cite">
<pre wrap="">Γυρνάω την κουβέντα στην λίστα, νομίζω έχει γενικότερο ενδιαφέρον --
για τους system-άδες τουλάχιστον.
Θα πρέπει να διαβάσετε από κάτω προς τα πάνω όμως :-(
On 04/08/2015 04:18 PM, Kostas Zorbadelos wrote:
</pre>
<blockquote type="cite">
<pre wrap="">Από την εποχή που ασχολιόμουν με το mail, θυμάμαι είχα απορρίψει το SPF
για fundamental flaws στη λογική του. Αν τα θυμάμαι καλά, το SPF
προσπαθεί να κάνει "authenticate" τη διαδρομή ενός mail (το path από
τους mail servers που περνάει) πράγμα που δημιουργεί πολλά προβλήματα σε
forwards, autoresponders και, καλή ώρα, mailing lists.
Στο προκείμενο, το πρόβλημα δεν είναι στους mail servers του Μιχάλη,
αλλά σε αυτό που έχετε δηλώσει εσείς σαν SPF πολιτική σας. Εσείς λέτε
hard fail αν κάτι δεν φεύγει από mail server που λέτε στο SPF σας και το
mx0 δεν είναι μέσα σε αυτούς που επιτρέπονται. Ο recepient mail server
απλά σέβεται την πολιτική σας.
</pre>
</blockquote>
<pre wrap="">Σωστά! γι αυτό και αλλάξαμε την πολιτική μας σε softfail.
Γενικά όμως αυτό το πρόβλημα μπορεί να το έχει οποιοσδήποτε θελήσει να
στείλει mail στην λίστα. Δεν υπάρχει κάποιο config που μπορούμε να
κάνουμε (ως διαχειριστές του GRNOG) που να το αποτρέπει αυτό.
</pre>
</blockquote>
<pre wrap="">
Για το domain σας, εσείς μπορείτε. Τα domains των άλλων είναι στην
ευθύνη αυτών που τα έχουν και πρέπει να δηλώνουν σωστό SPF record, αν
χρησιμοποιούν SPF. Το πρόβλημα ήταν στο domain σας και
την SPF πολιτική σας. To softfail που βάλατε, λογικά το διορθώνει. Όλες
οι λίστες του SYMPA που έχετε στέλνουν τα mail τους από το mx0.grnet.gr;
</pre>
<blockquote type="cite">
<pre wrap="">αυτομάτως το πρόβλημα γίνεται τελικά και πρόβλημα του παραλήπτη.
</pre>
</blockquote>
<pre wrap="">
Δε βλέπω γιατί γίνεται αυτό. Μπορεί κάτι να μου διαφεύγει, έχεις κάποιο
παράδειγμα;
Πάντως με λίγα λόγια, να ένας καλός λόγος να μη χρησιμοποιείς SPF. Τι
κάνεις με τις λίστες που είσαι γραμμένος;
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre wrap=""> Ίσως θα ήταν καλή ιδέα και ο recepient
mail server να μην εφαρμόζει πιστά την SPF πολιτική αλλά να αυξάνει
κάποιο spam score για mail που δεν φαίνεται να την τηρεί.
</pre>
</blockquote>
<pre wrap="">
Έχω την αίσθηση ότι αυτό κάνει το gmail.
</pre>
<blockquote type="cite">
<pre wrap="">
Από ότι θυμάμαι, μου φάνηκε σωστή προσέγγιση το DKIM, αλλά δεν πρόλαβα
να υλοποιήσω κάτι τέτοιο.
Just my 2 cents.
Andreas Polyrakis <a class="moz-txt-link-rfc2396E" href="mailto:apolyr@noc.grnet.gr"><apolyr@noc.grnet.gr></a> writes:
</pre>
<blockquote type="cite">
<pre wrap="">Μιχάλη, ίσως έχει ενδιαφέρον για τους διαχειριστές σας:
Η λίστα <a class="moz-txt-link-abbreviated" href="mailto:pc@grnog.gr">pc@grnog.gr</a> έχει παραλήπτη το <a class="moz-txt-link-rfc2396E" href="mailto:michalis.bersimis@hq.cyta.gr"><michalis.bersimis@hq.cyta.gr></a>
Όταν προσπαθώ να στείλω mail ως <a class="moz-txt-link-abbreviated" href="mailto:apolyr@noc.grnet.gr">apolyr@noc.grnet.gr</a>, ο mail server σας
παραλαμβάνει το email από τον ΜΧ του GRNOG (mx0.grnet.gr), αλλά
κάνοντας SPF για τον αποστολέα (@noc.grnet.gr) βλέπει πως ο ΜΧ αυτός
δεν είναι στους MX του domain του αποστολέα: Το SPF policy του
noc.grnet.gr δεν αφήνει τον mx0.grnet.gr να εμφανίζεται ως αποστολέας
email γι' αυτό το domain. Λόγω του hardfail (-all) στο SPF record για
το noc.grnet.gr domain, ο mx της cyta κάνει drop το email αυτό.
-----------------------------------------------------------------------
---
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es)
failed:
<a class="moz-txt-link-abbreviated" href="mailto:michalis.bersimis@hq.cyta.gr">michalis.bersimis@hq.cyta.gr</a>
(generated from <a class="moz-txt-link-abbreviated" href="mailto:pc@grnog.gr">pc@grnog.gr</a>)
SMTP error from remote mail server after RCPT
TO:<a class="moz-txt-link-rfc2396E" href="mailto:michalis.bersimis@hq.cyta.gr"><michalis.bersimis@hq.cyta.gr></a>:
host promitheas2.cytanet.com.cy [2a00:1358:2000:a0a:1000::6]:
550 5.7.1 <a class="moz-txt-link-rfc2396E" href="mailto:michalis.bersimis@hq.cyta.gr"><michalis.bersimis@hq.cyta.gr></a>: Recipient address rejected:
Please see
<a class="moz-txt-link-freetext" href="http://www.openspf.net/Why?s=mfrom;id=apolyr%40noc.grnet.gr;ip=2001%3A648%3A2ffc%3A200%3A%3A161">http://www.openspf.net/Why?s=mfrom;id=apolyr%40noc.grnet.gr;ip=2001%3A648%3A2ffc%3A200%3A%3A161</a>;
r=promitheas2.pri.cytanet.com.cy
------ This is a copy of the message, including all the headers. -
-----
Return-path: <a class="moz-txt-link-rfc2396E" href="mailto:apolyr@noc.grnet.gr"><apolyr@noc.grnet.gr></a>
Received: from mail.noc.grnet.gr ([2001:648:2340:4::5])
by mx0.grnet.gr (envelope-from <a class="moz-txt-link-rfc2396E" href="mailto:apolyr@noc.grnet.gr"><apolyr@noc.grnet.gr></a>)
with esmtp (Exim 4.80 (Debian GNU/Linux))
id 1YdyMP-0001vT-MC; Fri, 03 Apr 2015 12:57:58 +0300
-----------------------------------------------------------------------
---
Ως "λύση" αλλάξαμε το hardfail για το noc.grnet.gr σε softfail. Αυτό
λύνει το πρόβλημα για εμένα, αλλά δυνητικά κάποιος χρήστης που ανήκει
σε domain με hardfail policy δεν θα μπορεί να σου στείλει email.
Δεν είμαι σίγουρος ποια είναι η σωστή λύση στο πρόβλημα. Έχω την
εντύπωση ότι πολλοί (πχ gmail) υλοποιούν πιο "χαλαρή" πολιτική και
τελικά επιτρέπουν και τα hardfail.
Φιλικά,
</pre>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
<pre wrap="">
</pre>
</blockquote>
<br>
</body>
</html>