[grnog] Πρόβλημα με το pc at grnog.gr -> cyta
Kostas Zorbadelos
kzorba at otenet.gr
Thu Apr 9 14:13:58 CEST 2015
Nikalexis Nikos <nikalexis at modulus.gr> writes:
> Εμείς το ψάξαμε πρόσφατα και βάλαμε SPF record στο domain.
> Κυρίως το κάναμε με αφορμή έναν χρήστη που δεχόταν διάφορα spams που
> δεν έπιαναν οι RBLs και είχαν σαν αποστολέα τον εαυτό του.
>
Ναι, backscatter, αυτό αναφέρεται σαν ένα από τα πλεονεκτήματα του SPF.
> Δεν μπορώ να πω ότι με ενθουσιάζει όπως πάει να λύσει το πρόβλημα το
> SPF.
> Αν για παράδειγμα ρυθμίσεις το SPF με hardfail (-all) τότε πρέπει να
> είσαι πολύ σίγουρος για το ποιούς mailservers χρησιμοποιήσεις ή σε
> κάνουν Relay.
Σωστά.
> Σε αυτούς προφανώς περιλαμβάνονται και οι mailing lists, οπότε αν
> βάλεις hardfail policy θα πρέπει να προσθέσεις στο SPF όλους τους
> mailservers των mailing lists που θέλουν να συμμετέχουν οι χρήστες σου
> (με κάποια include, +a, +mx κλπ records).
> Αυτό προφανώς σε domains με πάρα πολλούς χρήστες (που θα ήθελα να
> συμμετέχουν τυχαία σε διάφορες λίστες) είναι διαχειριστικό σκότωμα,
> αλλά δεν μπορώ να σκεφτώ άλλη λύση, αν επιμένεις στο hardfail.
>
Όχι, αυτό δεν χρειάζεται. Αυτό με προβλημάτισε και εμένα, για αυτό
διάβασα περισσότερα.
> Μάλλον τελικά η πιο λογική λύση είναι απλά να το βάλεις με softfail
> (~all) και να αφήσεις τον απέναντι να αποφασίσει όπως νομίζει.
> Πάντως εμείς γλυτώσαμε κάποια spams ακόμα και με το softfail, οπότε
> μάλλον καλό είναι να το έχεις έστω και έτσι...
>
Νομίζω είναι ασφαλέστερο το softfail και σώνει σε περιπτώσεις που mail
φεύγει από path που δεν έχεις σκεφτεί, όπως γινόταν στην περίπτωση του
Ανδρέα.
> Δεν ξέρω αν έχω καταλάβει κάτι λάθος στα παραπάνω...
> Αν ξέρει κάποιος πως δουλεύουν εσωτερικά οι mailservers με το softfail
> (διότι είναι θολά τα πράγματα στο documentation του SPF), ας μας
> διαφωτίσει!
> Θα με ενδιέφερε κι εμένα να μάθω περισσότερα.
>
Διάβασε το wikipedia άρθρο για αρχή.
Καλό Πάσχα σε όλους!
> ----------------------------------------------------------------------
>
>
> * Νικαλέξης Νίκος
>
> Τ:
> 215 215 15 12
> Κ:
> 694 614 24 83
> Modulus Α.Ε.
> Τηλ: 215 215 15 00
> Fax: 215 215 15 09
> Λ. Κηφισίας 118Δ, Αθήνα, 115 26
>
> *
> On 09/04/2015 12:36 μμ, Kostas Zorbadelos wrote:
>
>
> Απαντώ στον εαυτό μου, γιατί από κόλλημα διάβασα παραπάνω στο
>
> http://en.wikipedia.org/wiki/Sender_Policy_Framework
>
> Η γενική ιδέα είναι αυτή που είχα καταλάβει. Για τις mailing lists όμως
> το πρόβλημα δεν υπάρχει καθώς ο list manager κάνει rewrite το
> return-path (με λίγα λόγια στέλνει σαν owner της λίστας και όχι σαν ο
> αρχικός αποστολέας, πράγμα λογικό).
>
> Στο προκείμενο, τα {pc,board}@grnog.gr μάλλον είναι aliases στο
> mx0.grnet.gr και γίνεται forward από εκεί. Άρα προστέθηκε κάποιο mail
> path που δεν ήταν valid με βάση την SPF πολιτική του grnet.gr.
>
> Καταλαβαίνω την SPF τεχνική, εξακολουθεί να μη μου αρέσει ιδιαίτερα (σαν
> ολοκληρωμένη πρόταση για αποφυγή spam) και θεωρώ το DKIM (αυτό που ξέρω
> σαν ιδέα του) καλύτερη προσέγγιση. Βλέπω όμως ότι το SPF έχει διαδοθεί και
> χρησιμοποιείται ευρέως.
>
> Αν έχετε διάθεση για περαιτέρω κουβέντα, το ερώτημα: πόσοι από τους
> συμμετέχοντες χρησιμοποιούν SPF στα domain τους; To θεωρείτε καλή ιδέα;
>
> Κώστας
>
> Kostas Zorbadelos <kzorba at otenet.gr> writes:
>
>
> Andreas Polyrakis <apolyr at noc.grnet.gr> writes:
>
>
> Γυρνάω την κουβέντα στην λίστα, νομίζω έχει γενικότερο ενδιαφέρον --
> για τους system-άδες τουλάχιστον.
> Θα πρέπει να διαβάσετε από κάτω προς τα πάνω όμως :-(
>
> On 04/08/2015 04:18 PM, Kostas Zorbadelos wrote:
>
>
> Από την εποχή που ασχολιόμουν με το mail, θυμάμαι είχα απορρίψει το SPF
> για fundamental flaws στη λογική του. Αν τα θυμάμαι καλά, το SPF
> προσπαθεί να κάνει "authenticate" τη διαδρομή ενός mail (το path από
> τους mail servers που περνάει) πράγμα που δημιουργεί πολλά προβλήματα σε
> forwards, autoresponders και, καλή ώρα, mailing lists.
>
> Στο προκείμενο, το πρόβλημα δεν είναι στους mail servers του Μιχάλη,
> αλλά σε αυτό που έχετε δηλώσει εσείς σαν SPF πολιτική σας. Εσείς λέτε
> hard fail αν κάτι δεν φεύγει από mail server που λέτε στο SPF σας και το
> mx0 δεν είναι μέσα σε αυτούς που επιτρέπονται. Ο recepient mail server
> απλά σέβεται την πολιτική σας.
>
> Σωστά! γι αυτό και αλλάξαμε την πολιτική μας σε softfail.
>
> Γενικά όμως αυτό το πρόβλημα μπορεί να το έχει οποιοσδήποτε θελήσει να
> στείλει mail στην λίστα. Δεν υπάρχει κάποιο config που μπορούμε να
> κάνουμε (ως διαχειριστές του GRNOG) που να το αποτρέπει αυτό.
>
>
> Για το domain σας, εσείς μπορείτε. Τα domains των άλλων είναι στην
> ευθύνη αυτών που τα έχουν και πρέπει να δηλώνουν σωστό SPF record, αν
> χρησιμοποιούν SPF. Το πρόβλημα ήταν στο domain σας και
> την SPF πολιτική σας. To softfail που βάλατε, λογικά το διορθώνει. Όλες
> οι λίστες του SYMPA που έχετε στέλνουν τα mail τους από το mx0.grnet.gr;
>
>
> αυτομάτως το πρόβλημα γίνεται τελικά και πρόβλημα του παραλήπτη.
>
>
> Δε βλέπω γιατί γίνεται αυτό. Μπορεί κάτι να μου διαφεύγει, έχεις κάποιο
> παράδειγμα;
> Πάντως με λίγα λόγια, να ένας καλός λόγος να μη χρησιμοποιείς SPF. Τι
> κάνεις με τις λίστες που είσαι γραμμένος;
>
>
> Ίσως θα ήταν καλή ιδέα και ο recepient
> mail server να μην εφαρμόζει πιστά την SPF πολιτική αλλά να αυξάνει
> κάποιο spam score για mail που δεν φαίνεται να την τηρεί.
>
>
> Έχω την αίσθηση ότι αυτό κάνει το gmail.
>
>
>
> Από ότι θυμάμαι, μου φάνηκε σωστή προσέγγιση το DKIM, αλλά δεν πρόλαβα
> να υλοποιήσω κάτι τέτοιο.
>
> Just my 2 cents.
>
> Andreas Polyrakis <apolyr at noc.grnet.gr> writes:
>
>
> Μιχάλη, ίσως έχει ενδιαφέρον για τους διαχειριστές σας:
>
> Η λίστα pc at grnog.gr έχει παραλήπτη το <michalis.bersimis at hq.cyta.gr>
>
> Όταν προσπαθώ να στείλω mail ως apolyr at noc.grnet.gr, ο mail server σας
> παραλαμβάνει το email από τον ΜΧ του GRNOG (mx0.grnet.gr), αλλά
> κάνοντας SPF για τον αποστολέα (@noc.grnet.gr) βλέπει πως ο ΜΧ αυτός
> δεν είναι στους MX του domain του αποστολέα: Το SPF policy του
> noc.grnet.gr δεν αφήνει τον mx0.grnet.gr να εμφανίζεται ως αποστολέας
> email γι' αυτό το domain. Λόγω του hardfail (-all) στο SPF record για
> το noc.grnet.gr domain, ο mx της cyta κάνει drop το email αυτό.
>
> -----------------------------------------------------------------------
> ---
> This message was created automatically by mail delivery software.
>
> A message that you sent could not be delivered to one or more of its
> recipients. This is a permanent error. The following address(es)
> failed:
>
> michalis.bersimis at hq.cyta.gr
> (generated from pc at grnog.gr)
> SMTP error from remote mail server after RCPT
> TO:<michalis.bersimis at hq.cyta.gr>:
> host promitheas2.cytanet.com.cy [2a00:1358:2000:a0a:1000::6]:
> 550 5.7.1 <michalis.bersimis at hq.cyta.gr>: Recipient address rejected:
> Please see
> http://www.openspf.net/Why?s=mfrom;id=apolyr%40noc.grnet.gr;ip=2001%3A648%3A2ffc%3A200%3A%3A161;
> r=promitheas2.pri.cytanet.com.cy
>
> ------ This is a copy of the message, including all the headers. -
> -----
>
> Return-path: <apolyr at noc.grnet.gr>
> Received: from mail.noc.grnet.gr ([2001:648:2340:4::5])
> by mx0.grnet.gr (envelope-from <apolyr at noc.grnet.gr>)
> with esmtp (Exim 4.80 (Debian GNU/Linux))
> id 1YdyMP-0001vT-MC; Fri, 03 Apr 2015 12:57:58 +0300
> -----------------------------------------------------------------------
> ---
>
> Ως "λύση" αλλάξαμε το hardfail για το noc.grnet.gr σε softfail. Αυτό
> λύνει το πρόβλημα για εμένα, αλλά δυνητικά κάποιος χρήστης που ανήκει
> σε domain με hardfail policy δεν θα μπορεί να σου στείλει email.
>
> Δεν είμαι σίγουρος ποια είναι η σωστή λύση στο πρόβλημα. Έχω την
> εντύπωση ότι πολλοί (πχ gmail) υλοποιούν πιο "χαλαρή" πολιτική και
> τελικά επιτρέπουν και τα hardfail.
>
> Φιλικά,
>
>
>
>
--
Kostas Zorbadelos http://gr.linkedin.com/in/kzorba
More information about the grnog-members
mailing list