<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    On 09/04/2015 03:13 μμ, Kostas Zorbadelos wrote:<br>
    <blockquote cite="mid:87zj6h1ou1.fsf@otenet.gr" type="cite">
      <pre wrap="">Nikalexis Nikos <a class="moz-txt-link-rfc2396E" href="mailto:nikalexis@modulus.gr"><nikalexis@modulus.gr></a> writes:

</pre>
      <blockquote type="cite">
        <pre wrap="">Εμείς το ψάξαμε πρόσφατα και βάλαμε SPF record στο domain.
Κυρίως το κάναμε με αφορμή έναν χρήστη που δεχόταν διάφορα spams που
δεν έπιαναν οι RBLs και είχαν σαν αποστολέα τον εαυτό του.

</pre>
      </blockquote>
      <pre wrap="">
Ναι, backscatter, αυτό αναφέρεται σαν ένα από τα πλεονεκτήματα του SPF. 

</pre>
      <blockquote type="cite">
        <pre wrap="">Δεν μπορώ να πω ότι με ενθουσιάζει όπως πάει να λύσει το πρόβλημα το
SPF.
Αν για παράδειγμα ρυθμίσεις το SPF με hardfail (-all) τότε πρέπει να
είσαι πολύ σίγουρος για το ποιούς mailservers χρησιμοποιήσεις ή σε
κάνουν Relay.
</pre>
      </blockquote>
      <pre wrap="">
Σωστά. 

</pre>
      <blockquote type="cite">
        <pre wrap="">Σε αυτούς προφανώς περιλαμβάνονται και οι mailing lists, οπότε αν
βάλεις hardfail policy θα πρέπει να προσθέσεις στο SPF όλους τους
mailservers των mailing lists που θέλουν να συμμετέχουν οι χρήστες σου
(με κάποια include, +a, +mx κλπ records).
Αυτό προφανώς σε domains με πάρα πολλούς χρήστες (που θα ήθελα να
συμμετέχουν τυχαία σε διάφορες λίστες) είναι διαχειριστικό σκότωμα,
αλλά δεν μπορώ να σκεφτώ άλλη λύση, αν επιμένεις στο hardfail.

</pre>
      </blockquote>
      <pre wrap="">
Όχι, αυτό δεν χρειάζεται. Αυτό με προβλημάτισε και εμένα, για αυτό
διάβασα περισσότερα. </pre>
    </blockquote>
    Εδώ κάπου σε έχασα.<br>
    Αν το NOC του GRNET είχε βάλει στο SPF του noc.grnet.gr ΚΑΙ το
    mx0.grnet.gr (που δεν υπάρχει μέχρι και τώρα), τότε θα μπορούσε να
    συνεχίσει να έχει hardfail policy (-all) και η αποστολή στην λίστα
    από τον Ανδρέα θα δούλευε κανονικά...<br>
    Αντί αυτού, απλά "κατέβασε" το policy σε softfail (~all) και δούλεψε
    απλά και μόνο λόγω χαλαρότερου policy.<br>
    <blockquote><tt>host mx0.grnet.gr<br>
        mx0.grnet.gr has address 194.177.210.161<br>
        mx0.grnet.gr has IPv6 address 2001:648:2ffc:200::161<br>
        <br>
        host -t TXT noc.grnet.gr</tt><br>
      <tt>noc.grnet.gr descriptive text "v=spf1 mx ip4:194.177.210.169
        ip6:2001:648:2ffc:200::169 ~all"</tt><br>
    </blockquote>
    <blockquote><tt>host -t MX noc.grnet.gr</tt><br>
      <tt>noc.grnet.gr mail is handled by 10 mail.noc.grnet.gr.</tt><br>
    </blockquote>
    <blockquote><tt>host mail.noc.grnet.gr</tt><br>
      <tt>mail.noc.grnet.gr has address 83.212.9.5</tt><br>
      <tt>mail.noc.grnet.gr has IPv6 address 2001:648:2340:4::5</tt><br>
    </blockquote>
    <blockquote cite="mid:87zj6h1ou1.fsf@otenet.gr" type="cite">
      <blockquote type="cite">
        <pre wrap="">Μάλλον τελικά η πιο λογική λύση είναι απλά να το βάλεις με softfail
(~all) και να αφήσεις τον απέναντι να αποφασίσει όπως νομίζει.
Πάντως εμείς γλυτώσαμε κάποια spams ακόμα και με το softfail, οπότε
μάλλον καλό είναι να το έχεις έστω και έτσι...

</pre>
      </blockquote>
      <pre wrap="">
Νομίζω είναι ασφαλέστερο το softfail και σώνει σε περιπτώσεις που mail
φεύγει από path που δεν έχεις σκεφτεί, όπως γινόταν στην περίπτωση του
Ανδρέα. 
 
</pre>
      <blockquote type="cite">
        <pre wrap="">Δεν ξέρω αν έχω καταλάβει κάτι λάθος στα παραπάνω...
Αν ξέρει κάποιος πως δουλεύουν εσωτερικά οι mailservers με το softfail
(διότι είναι θολά τα πράγματα στο documentation του SPF), ας μας
διαφωτίσει!
Θα με ενδιέφερε κι εμένα να μάθω περισσότερα.

</pre>
      </blockquote>
      <pre wrap="">
Διάβασε το wikipedia άρθρο για αρχή.

Καλό Πάσχα σε όλους!

</pre>
      <blockquote type="cite">
        <pre wrap="">----------------------------------------------------------------------

                                    
 * Νικαλέξης Νίκος                  
                                    
   Τ:                               
   215 215 15 12                    
   Κ:                               
   694 614 24 83                    
   Modulus Α.Ε.                     
   Τηλ: 215 215 15 00               
   Fax: 215 215 15 09               
   Λ. Κηφισίας 118Δ, Αθήνα, 115 26  
                                    
*
On 09/04/2015 12:36 μμ, Kostas Zorbadelos wrote:

    
Απαντώ στον εαυτό μου, γιατί από κόλλημα διάβασα παραπάνω στο

<a class="moz-txt-link-freetext" href="http://en.wikipedia.org/wiki/Sender_Policy_Framework">http://en.wikipedia.org/wiki/Sender_Policy_Framework</a>

Η γενική ιδέα είναι αυτή που είχα καταλάβει. Για τις mailing lists όμως
το πρόβλημα δεν υπάρχει καθώς ο list manager κάνει rewrite το
return-path (με λίγα λόγια στέλνει σαν owner της λίστας και όχι σαν ο
αρχικός αποστολέας, πράγμα λογικό).

Στο προκείμενο, τα {pc,<a class="moz-txt-link-abbreviated" href="mailto:board}@grnog.gr">board}@grnog.gr</a> μάλλον είναι aliases στο
mx0.grnet.gr και γίνεται forward από εκεί. Άρα προστέθηκε κάποιο mail
path που δεν ήταν valid με βάση την SPF πολιτική του grnet.gr.

Καταλαβαίνω την SPF τεχνική, εξακολουθεί να μη μου αρέσει ιδιαίτερα (σαν
ολοκληρωμένη πρόταση για αποφυγή spam) και θεωρώ το DKIM (αυτό που ξέρω
σαν ιδέα του) καλύτερη προσέγγιση. Βλέπω όμως ότι το SPF έχει διαδοθεί και
χρησιμοποιείται ευρέως. 

Αν έχετε διάθεση για περαιτέρω κουβέντα, το ερώτημα: πόσοι από τους
συμμετέχοντες χρησιμοποιούν SPF στα domain τους; To θεωρείτε καλή ιδέα;   

Κώστας
 
Kostas Zorbadelos <a class="moz-txt-link-rfc2396E" href="mailto:kzorba@otenet.gr"><kzorba@otenet.gr></a> writes:

    
        Andreas Polyrakis <a class="moz-txt-link-rfc2396E" href="mailto:apolyr@noc.grnet.gr"><apolyr@noc.grnet.gr></a> writes:

        
            Γυρνάω την κουβέντα στην λίστα, νομίζω έχει γενικότερο ενδιαφέρον --
για τους system-άδες τουλάχιστον.
Θα πρέπει να διαβάσετε από κάτω προς τα πάνω όμως :-(

On 04/08/2015 04:18 PM, Kostas Zorbadelos wrote:

            
                Από την εποχή που ασχολιόμουν με το mail, θυμάμαι είχα απορρίψει το SPF
για fundamental flaws στη λογική του. Αν τα θυμάμαι καλά, το SPF
προσπαθεί να κάνει "authenticate" τη διαδρομή ενός mail (το path από
τους mail servers που περνάει) πράγμα που δημιουργεί πολλά προβλήματα σε
forwards, autoresponders και, καλή ώρα, mailing lists.

Στο προκείμενο, το πρόβλημα δεν είναι στους mail servers του Μιχάλη,
αλλά σε αυτό που έχετε δηλώσει εσείς σαν SPF πολιτική σας. Εσείς λέτε
hard fail αν κάτι δεν φεύγει από mail server που λέτε στο SPF σας και το
mx0 δεν είναι μέσα σε αυτούς που επιτρέπονται. Ο recepient mail server
απλά σέβεται την πολιτική σας.

            Σωστά! γι αυτό και αλλάξαμε την πολιτική μας σε softfail.

Γενικά όμως αυτό το πρόβλημα μπορεί να το έχει οποιοσδήποτε θελήσει να
στείλει mail στην λίστα. Δεν υπάρχει κάποιο config που μπορούμε να
κάνουμε (ως διαχειριστές του GRNOG) που να το αποτρέπει αυτό.

        
Για το domain σας, εσείς μπορείτε. Τα domains των άλλων είναι στην
ευθύνη αυτών που τα έχουν και πρέπει να δηλώνουν σωστό SPF record, αν
χρησιμοποιούν SPF. Το πρόβλημα ήταν στο domain σας και
την SPF πολιτική σας. To softfail που βάλατε, λογικά το διορθώνει. Όλες
οι λίστες του SYMPA που έχετε στέλνουν τα mail τους από το mx0.grnet.gr;  

        
            αυτομάτως το πρόβλημα γίνεται τελικά και πρόβλημα του παραλήπτη.

        
Δε βλέπω γιατί γίνεται αυτό. Μπορεί κάτι να μου διαφεύγει, έχεις κάποιο
παράδειγμα; 
Πάντως με λίγα λόγια, να ένας καλός λόγος να μη χρησιμοποιείς SPF. Τι
κάνεις με τις λίστες που είσαι γραμμένος;

                    
                  Ίσως θα ήταν καλή ιδέα και ο recepient
mail server να μην εφαρμόζει πιστά την SPF πολιτική αλλά να αυξάνει
κάποιο spam score για mail που δεν φαίνεται να την τηρεί.

            
Έχω την αίσθηση ότι αυτό κάνει το gmail.

            
                
Από ότι θυμάμαι, μου φάνηκε σωστή προσέγγιση το DKIM, αλλά δεν πρόλαβα
να υλοποιήσω κάτι τέτοιο.

Just my 2 cents.

Andreas Polyrakis <a class="moz-txt-link-rfc2396E" href="mailto:apolyr@noc.grnet.gr"><apolyr@noc.grnet.gr></a> writes:

                
                    Μιχάλη, ίσως έχει ενδιαφέρον για τους διαχειριστές σας:

Η λίστα <a class="moz-txt-link-abbreviated" href="mailto:pc@grnog.gr">pc@grnog.gr</a> έχει παραλήπτη το <a class="moz-txt-link-rfc2396E" href="mailto:michalis.bersimis@hq.cyta.gr"><michalis.bersimis@hq.cyta.gr></a>

Όταν προσπαθώ να στείλω mail ως <a class="moz-txt-link-abbreviated" href="mailto:apolyr@noc.grnet.gr">apolyr@noc.grnet.gr</a>, ο mail server σας
παραλαμβάνει το email από τον ΜΧ του GRNOG (mx0.grnet.gr), αλλά
κάνοντας SPF για τον αποστολέα (@noc.grnet.gr) βλέπει πως ο ΜΧ αυτός
δεν είναι στους MX του domain του αποστολέα: Το SPF policy του
noc.grnet.gr δεν αφήνει τον mx0.grnet.gr να εμφανίζεται ως αποστολέας
email γι' αυτό το domain. Λόγω του hardfail (-all) στο SPF record για
το noc.grnet.gr domain, ο mx της cyta κάνει drop το email αυτό.

-----------------------------------------------------------------------
---
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es)
failed:

<a class="moz-txt-link-abbreviated" href="mailto:michalis.bersimis@hq.cyta.gr">michalis.bersimis@hq.cyta.gr</a>
(generated from <a class="moz-txt-link-abbreviated" href="mailto:pc@grnog.gr">pc@grnog.gr</a>)
SMTP error from remote mail server after RCPT
TO:<a class="moz-txt-link-rfc2396E" href="mailto:michalis.bersimis@hq.cyta.gr"><michalis.bersimis@hq.cyta.gr></a>:
host promitheas2.cytanet.com.cy [2a00:1358:2000:a0a:1000::6]:
550 5.7.1 <a class="moz-txt-link-rfc2396E" href="mailto:michalis.bersimis@hq.cyta.gr"><michalis.bersimis@hq.cyta.gr></a>: Recipient address rejected:
Please see
<a class="moz-txt-link-freetext" href="http://www.openspf.net/Why?s=mfrom;id=apolyr%40noc.grnet.gr;ip=2001%3A648%3A2ffc%3A200%3A%3A161">http://www.openspf.net/Why?s=mfrom;id=apolyr%40noc.grnet.gr;ip=2001%3A648%3A2ffc%3A200%3A%3A161</a>;
r=promitheas2.pri.cytanet.com.cy

------ This is a copy of the message, including all the headers. -
-----

Return-path: <a class="moz-txt-link-rfc2396E" href="mailto:apolyr@noc.grnet.gr"><apolyr@noc.grnet.gr></a>
Received: from mail.noc.grnet.gr ([2001:648:2340:4::5])
by mx0.grnet.gr (envelope-from <a class="moz-txt-link-rfc2396E" href="mailto:apolyr@noc.grnet.gr"><apolyr@noc.grnet.gr></a>)
with esmtp (Exim 4.80 (Debian GNU/Linux))
id 1YdyMP-0001vT-MC; Fri, 03 Apr 2015 12:57:58 +0300
-----------------------------------------------------------------------
---

Ως "λύση" αλλάξαμε το hardfail για το noc.grnet.gr σε softfail. Αυτό
λύνει το πρόβλημα για εμένα, αλλά δυνητικά κάποιος χρήστης που ανήκει
σε domain με hardfail policy δεν θα μπορεί να σου στείλει email.

Δεν είμαι σίγουρος ποια είναι η σωστή λύση στο πρόβλημα. Έχω την
εντύπωση ότι πολλοί (πχ gmail) υλοποιούν πιο "χαλαρή" πολιτική και
τελικά επιτρέπουν και τα hardfail.

Φιλικά,

    


</pre>
      </blockquote>
      <pre wrap="">
</pre>
    </blockquote>
    <br>
  </body>
</html>