[grnog] Πρόβλημα με το pc at grnog.gr -> cyta

Kostas Zorbadelos kzorba at otenet.gr
Thu Apr 9 11:36:08 CEST 2015


Απαντώ στον εαυτό μου, γιατί από κόλλημα διάβασα παραπάνω στο

http://en.wikipedia.org/wiki/Sender_Policy_Framework

Η γενική ιδέα είναι αυτή που είχα καταλάβει. Για τις mailing lists όμως
το πρόβλημα δεν υπάρχει καθώς ο list manager κάνει rewrite το
return-path (με λίγα λόγια στέλνει σαν owner της λίστας και όχι σαν ο
αρχικός αποστολέας, πράγμα λογικό).

Στο προκείμενο, τα {pc,board}@grnog.gr μάλλον είναι aliases στο
mx0.grnet.gr και γίνεται forward από εκεί. Άρα προστέθηκε κάποιο mail
path που δεν ήταν valid με βάση την SPF πολιτική του grnet.gr.

Καταλαβαίνω την SPF τεχνική, εξακολουθεί να μη μου αρέσει ιδιαίτερα (σαν
ολοκληρωμένη πρόταση για αποφυγή spam) και θεωρώ το DKIM (αυτό που ξέρω
σαν ιδέα του) καλύτερη προσέγγιση. Βλέπω όμως ότι το SPF έχει διαδοθεί και
χρησιμοποιείται ευρέως. 

Αν έχετε διάθεση για περαιτέρω κουβέντα, το ερώτημα: πόσοι από τους
συμμετέχοντες χρησιμοποιούν SPF στα domain τους; To θεωρείτε καλή ιδέα;   

Κώστας
 
Kostas Zorbadelos <kzorba at otenet.gr> writes:

> Andreas Polyrakis <apolyr at noc.grnet.gr> writes:
>
>> Γυρνάω την κουβέντα στην λίστα, νομίζω έχει γενικότερο ενδιαφέρον --
>> για τους system-άδες τουλάχιστον.
>> Θα πρέπει να διαβάσετε από κάτω προς τα πάνω όμως :-(
>>
>> On 04/08/2015 04:18 PM, Kostas Zorbadelos wrote:
>>> Από την εποχή που ασχολιόμουν με το mail, θυμάμαι είχα απορρίψει το SPF
>>> για fundamental flaws στη λογική του. Αν τα θυμάμαι καλά, το SPF
>>> προσπαθεί να κάνει "authenticate" τη διαδρομή ενός mail (το path από
>>> τους mail servers που περνάει) πράγμα που δημιουργεί πολλά προβλήματα σε
>>> forwards, autoresponders και, καλή ώρα, mailing lists.
>>>
>>> Στο προκείμενο, το πρόβλημα δεν είναι στους mail servers του Μιχάλη,
>>> αλλά σε αυτό που έχετε δηλώσει εσείς σαν SPF πολιτική σας. Εσείς λέτε
>>> hard fail αν κάτι δεν φεύγει από mail server που λέτε στο SPF σας και το
>>> mx0 δεν είναι μέσα σε αυτούς που επιτρέπονται. Ο recepient mail server
>>> απλά σέβεται την πολιτική σας.
>> Σωστά! γι αυτό και αλλάξαμε την πολιτική μας σε softfail.
>>
>> Γενικά όμως αυτό το πρόβλημα μπορεί να το έχει οποιοσδήποτε θελήσει να
>> στείλει mail στην λίστα. Δεν υπάρχει κάποιο config που μπορούμε να
>> κάνουμε (ως διαχειριστές του GRNOG) που να το αποτρέπει αυτό.
>
> Για το domain σας, εσείς μπορείτε. Τα domains των άλλων είναι στην
> ευθύνη αυτών που τα έχουν και πρέπει να δηλώνουν σωστό SPF record, αν
> χρησιμοποιούν SPF. Το πρόβλημα ήταν στο domain σας και
> την SPF πολιτική σας. To softfail που βάλατε, λογικά το διορθώνει. Όλες
> οι λίστες του SYMPA που έχετε στέλνουν τα mail τους από το mx0.grnet.gr;  
>
>> αυτομάτως το πρόβλημα γίνεται τελικά και πρόβλημα του παραλήπτη.
>>
>
> Δε βλέπω γιατί γίνεται αυτό. Μπορεί κάτι να μου διαφεύγει, έχεις κάποιο
> παράδειγμα; 
> Πάντως με λίγα λόγια, να ένας καλός λόγος να μη χρησιμοποιείς SPF. Τι
> κάνεις με τις λίστες που είσαι γραμμένος;
>
>>>   Ίσως θα ήταν καλή ιδέα και ο recepient
>>> mail server να μην εφαρμόζει πιστά την SPF πολιτική αλλά να αυξάνει
>>> κάποιο spam score για mail που δεν φαίνεται να την τηρεί.
>>
>> Έχω την αίσθηση ότι αυτό κάνει το gmail.
>>
>>>
>>> Από ότι θυμάμαι, μου φάνηκε σωστή προσέγγιση το DKIM, αλλά δεν πρόλαβα
>>> να υλοποιήσω κάτι τέτοιο.
>>>
>>> Just my 2 cents.
>>>
>>> Andreas Polyrakis <apolyr at noc.grnet.gr> writes:
>>>
>>>> Μιχάλη, ίσως έχει ενδιαφέρον για τους διαχειριστές σας:
>>>>
>>>> Η λίστα pc at grnog.gr έχει παραλήπτη το <michalis.bersimis at hq.cyta.gr>
>>>>
>>>> Όταν προσπαθώ να στείλω mail ως apolyr at noc.grnet.gr, ο mail server σας
>>>> παραλαμβάνει το email από τον ΜΧ του GRNOG (mx0.grnet.gr), αλλά
>>>> κάνοντας SPF για τον αποστολέα (@noc.grnet.gr) βλέπει πως ο ΜΧ αυτός
>>>> δεν είναι στους MX του domain του αποστολέα: Το SPF policy του
>>>> noc.grnet.gr δεν αφήνει τον mx0.grnet.gr να εμφανίζεται ως αποστολέας
>>>> email γι' αυτό το domain. Λόγω του hardfail (-all) στο SPF record για
>>>> το noc.grnet.gr domain, ο mx της cyta κάνει drop το email αυτό.
>>>>
>>>> -----------------------------------------------------------------------
>>>> ---
>>>> This message was created automatically by mail delivery software.
>>>>
>>>> A message that you sent could not be delivered to one or more of its
>>>> recipients. This is a permanent error. The following address(es)
>>>> failed:
>>>>
>>>> michalis.bersimis at hq.cyta.gr
>>>> (generated from pc at grnog.gr)
>>>> SMTP error from remote mail server after RCPT
>>>> TO:<michalis.bersimis at hq.cyta.gr>:
>>>> host promitheas2.cytanet.com.cy [2a00:1358:2000:a0a:1000::6]:
>>>> 550 5.7.1 <michalis.bersimis at hq.cyta.gr>: Recipient address rejected:
>>>> Please see
>>>> http://www.openspf.net/Why?s=mfrom;id=apolyr%40noc.grnet.gr;ip=2001%3A648%3A2ffc%3A200%3A%3A161;
>>>> r=promitheas2.pri.cytanet.com.cy
>>>>
>>>> ------ This is a copy of the message, including all the headers. -
>>>> -----
>>>>
>>>> Return-path: <apolyr at noc.grnet.gr>
>>>> Received: from mail.noc.grnet.gr ([2001:648:2340:4::5])
>>>> by mx0.grnet.gr (envelope-from <apolyr at noc.grnet.gr>)
>>>> with esmtp (Exim 4.80 (Debian GNU/Linux))
>>>> id 1YdyMP-0001vT-MC; Fri, 03 Apr 2015 12:57:58 +0300
>>>> -----------------------------------------------------------------------
>>>> ---
>>>>
>>>> Ως "λύση" αλλάξαμε το hardfail για το noc.grnet.gr σε softfail. Αυτό
>>>> λύνει το πρόβλημα για εμένα, αλλά δυνητικά κάποιος χρήστης που ανήκει
>>>> σε domain με hardfail policy δεν θα μπορεί να σου στείλει email.
>>>>
>>>> Δεν είμαι σίγουρος ποια είναι η σωστή λύση στο πρόβλημα. Έχω την
>>>> εντύπωση ότι πολλοί (πχ gmail) υλοποιούν πιο "χαλαρή" πολιτική και
>>>> τελικά επιτρέπουν και τα hardfail.
>>>>
>>>> Φιλικά,



More information about the grnog-members mailing list