[grnog] Πρόβλημα με το pc at grnog.gr -> cyta

Nikalexis Nikos nikalexis at modulus.gr
Thu Apr 9 15:08:59 CEST 2015 

On 09/04/2015 03:13 μμ, Kostas Zorbadelos wrote:
> Nikalexis Nikos <nikalexis at modulus.gr> writes:
>
>> Εμείς το ψάξαμε πρόσφατα και βάλαμε SPF record στο domain.
>> Κυρίως το κάναμε με αφορμή έναν χρήστη που δεχόταν διάφορα spams που
>> δεν έπιαναν οι RBLs και είχαν σαν αποστολέα τον εαυτό του.
>>
> Ναι, backscatter, αυτό αναφέρεται σαν ένα από τα πλεονεκτήματα του SPF.
>
>> Δεν μπορώ να πω ότι με ενθουσιάζει όπως πάει να λύσει το πρόβλημα το
>> SPF.
>> Αν για παράδειγμα ρυθμίσεις το SPF με hardfail (-all) τότε πρέπει να
>> είσαι πολύ σίγουρος για το ποιούς mailservers χρησιμοποιήσεις ή σε
>> κάνουν Relay.
> Σωστά.
>
>> Σε αυτούς προφανώς περιλαμβάνονται και οι mailing lists, οπότε αν
>> βάλεις hardfail policy θα πρέπει να προσθέσεις στο SPF όλους τους
>> mailservers των mailing lists που θέλουν να συμμετέχουν οι χρήστες σου
>> (με κάποια include, +a, +mx κλπ records).
>> Αυτό προφανώς σε domains με πάρα πολλούς χρήστες (που θα ήθελα να
>> συμμετέχουν τυχαία σε διάφορες λίστες) είναι διαχειριστικό σκότωμα,
>> αλλά δεν μπορώ να σκεφτώ άλλη λύση, αν επιμένεις στο hardfail.
>>
> Όχι, αυτό δεν χρειάζεται. Αυτό με προβλημάτισε και εμένα, για αυτό
> διάβασα περισσότερα.
Εδώ κάπου σε έχασα.
Αν το NOC του GRNET είχε βάλει στο SPF του noc.grnet.gr ΚΑΙ το 
mx0.grnet.gr (που δεν υπάρχει μέχρι και τώρα), τότε θα μπορούσε να 
συνεχίσει να έχει hardfail policy (-all) και η αποστολή στην λίστα από 
τον Ανδρέα θα δούλευε κανονικά...
Αντί αυτού, απλά "κατέβασε" το policy σε softfail (~all) και δούλεψε 
απλά και μόνο λόγω χαλαρότερου policy.

    host mx0.grnet.gr
    mx0.grnet.gr has address 194.177.210.161
    mx0.grnet.gr has IPv6 address 2001:648:2ffc:200::161

    host -t TXT noc.grnet.gr
    noc.grnet.gr descriptive text "v=spf1 mx ip4:194.177.210.169
    ip6:2001:648:2ffc:200::169 ~all"

    host -t MX noc.grnet.gr
    noc.grnet.gr mail is handled by 10 mail.noc.grnet.gr.

    host mail.noc.grnet.gr
    mail.noc.grnet.gr has address 83.212.9.5
    mail.noc.grnet.gr has IPv6 address 2001:648:2340:4::5

>> Μάλλον τελικά η πιο λογική λύση είναι απλά να το βάλεις με softfail
>> (~all) και να αφήσεις τον απέναντι να αποφασίσει όπως νομίζει.
>> Πάντως εμείς γλυτώσαμε κάποια spams ακόμα και με το softfail, οπότε
>> μάλλον καλό είναι να το έχεις έστω και έτσι...
>>
> Νομίζω είναι ασφαλέστερο το softfail και σώνει σε περιπτώσεις που mail
> φεύγει από path που δεν έχεις σκεφτεί, όπως γινόταν στην περίπτωση του
> Ανδρέα.
>   
>> Δεν ξέρω αν έχω καταλάβει κάτι λάθος στα παραπάνω...
>> Αν ξέρει κάποιος πως δουλεύουν εσωτερικά οι mailservers με το softfail
>> (διότι είναι θολά τα πράγματα στο documentation του SPF), ας μας
>> διαφωτίσει!
>> Θα με ενδιέφερε κι εμένα να μάθω περισσότερα.
>>
> Διάβασε το wikipedia άρθρο για αρχή.
>
> Καλό Πάσχα σε όλους!
>
>> ----------------------------------------------------------------------
>>
>>                                      
>>   * Νικαλέξης Νίκος
>>                                      
>>     Τ:
>>     215 215 15 12
>>     Κ:
>>     694 614 24 83
>>     Modulus Α.Ε.
>>     Τηλ: 215 215 15 00
>>     Fax: 215 215 15 09
>>     Λ. Κηφισίας 118Δ, Αθήνα, 115 26
>>                                      
>> *
>> On 09/04/2015 12:36 μμ, Kostas Zorbadelos wrote:
>>
>>      
>> Απαντώ στον εαυτό μου, γιατί από κόλλημα διάβασα παραπάνω στο
>>
>> http://en.wikipedia.org/wiki/Sender_Policy_Framework
>>
>> Η γενική ιδέα είναι αυτή που είχα καταλάβει. Για τις mailing lists όμως
>> το πρόβλημα δεν υπάρχει καθώς ο list manager κάνει rewrite το
>> return-path (με λίγα λόγια στέλνει σαν owner της λίστας και όχι σαν ο
>> αρχικός αποστολέας, πράγμα λογικό).
>>
>> Στο προκείμενο, τα {pc,board}@grnog.gr μάλλον είναι aliases στο
>> mx0.grnet.gr και γίνεται forward από εκεί. Άρα προστέθηκε κάποιο mail
>> path που δεν ήταν valid με βάση την SPF πολιτική του grnet.gr.
>>
>> Καταλαβαίνω την SPF τεχνική, εξακολουθεί να μη μου αρέσει ιδιαίτερα (σαν
>> ολοκληρωμένη πρόταση για αποφυγή spam) και θεωρώ το DKIM (αυτό που ξέρω
>> σαν ιδέα του) καλύτερη προσέγγιση. Βλέπω όμως ότι το SPF έχει διαδοθεί και
>> χρησιμοποιείται ευρέως.
>>
>> Αν έχετε διάθεση για περαιτέρω κουβέντα, το ερώτημα: πόσοι από τους
>> συμμετέχοντες χρησιμοποιούν SPF στα domain τους; To θεωρείτε καλή ιδέα;
>>
>> Κώστας
>>   
>> Kostas Zorbadelos <kzorba at otenet.gr> writes:
>>
>>      
>>          Andreas Polyrakis <apolyr at noc.grnet.gr> writes:
>>
>>          
>>              Γυρνάω την κουβέντα στην λίστα, νομίζω έχει γενικότερο ενδιαφέρον --
>> για τους system-άδες τουλάχιστον.
>> Θα πρέπει να διαβάσετε από κάτω προς τα πάνω όμως :-(
>>
>> On 04/08/2015 04:18 PM, Kostas Zorbadelos wrote:
>>
>>              
>>                  Από την εποχή που ασχολιόμουν με το mail, θυμάμαι είχα απορρίψει το SPF
>> για fundamental flaws στη λογική του. Αν τα θυμάμαι καλά, το SPF
>> προσπαθεί να κάνει "authenticate" τη διαδρομή ενός mail (το path από
>> τους mail servers που περνάει) πράγμα που δημιουργεί πολλά προβλήματα σε
>> forwards, autoresponders και, καλή ώρα, mailing lists.
>>
>> Στο προκείμενο, το πρόβλημα δεν είναι στους mail servers του Μιχάλη,
>> αλλά σε αυτό που έχετε δηλώσει εσείς σαν SPF πολιτική σας. Εσείς λέτε
>> hard fail αν κάτι δεν φεύγει από mail server που λέτε στο SPF σας και το
>> mx0 δεν είναι μέσα σε αυτούς που επιτρέπονται. Ο recepient mail server
>> απλά σέβεται την πολιτική σας.
>>
>>              Σωστά! γι αυτό και αλλάξαμε την πολιτική μας σε softfail.
>>
>> Γενικά όμως αυτό το πρόβλημα μπορεί να το έχει οποιοσδήποτε θελήσει να
>> στείλει mail στην λίστα. Δεν υπάρχει κάποιο config που μπορούμε να
>> κάνουμε (ως διαχειριστές του GRNOG) που να το αποτρέπει αυτό.
>>
>>          
>> Για το domain σας, εσείς μπορείτε. Τα domains των άλλων είναι στην
>> ευθύνη αυτών που τα έχουν και πρέπει να δηλώνουν σωστό SPF record, αν
>> χρησιμοποιούν SPF. Το πρόβλημα ήταν στο domain σας και
>> την SPF πολιτική σας. To softfail που βάλατε, λογικά το διορθώνει. Όλες
>> οι λίστες του SYMPA που έχετε στέλνουν τα mail τους από το mx0.grnet.gr;
>>
>>          
>>              αυτομάτως το πρόβλημα γίνεται τελικά και πρόβλημα του παραλήπτη.
>>
>>          
>> Δε βλέπω γιατί γίνεται αυτό. Μπορεί κάτι να μου διαφεύγει, έχεις κάποιο
>> παράδειγμα;
>> Πάντως με λίγα λόγια, να ένας καλός λόγος να μη χρησιμοποιείς SPF. Τι
>> κάνεις με τις λίστες που είσαι γραμμένος;
>>
>>                      
>>                    Ίσως θα ήταν καλή ιδέα και ο recepient
>> mail server να μην εφαρμόζει πιστά την SPF πολιτική αλλά να αυξάνει
>> κάποιο spam score για mail που δεν φαίνεται να την τηρεί.
>>
>>              
>> Έχω την αίσθηση ότι αυτό κάνει το gmail.
>>
>>              
>>                  
>> Από ότι θυμάμαι, μου φάνηκε σωστή προσέγγιση το DKIM, αλλά δεν πρόλαβα
>> να υλοποιήσω κάτι τέτοιο.
>>
>> Just my 2 cents.
>>
>> Andreas Polyrakis <apolyr at noc.grnet.gr> writes:
>>
>>                  
>>                      Μιχάλη, ίσως έχει ενδιαφέρον για τους διαχειριστές σας:
>>
>> Η λίστα pc at grnog.gr έχει παραλήπτη το <michalis.bersimis at hq.cyta.gr>
>>
>> Όταν προσπαθώ να στείλω mail ως apolyr at noc.grnet.gr, ο mail server σας
>> παραλαμβάνει το email από τον ΜΧ του GRNOG (mx0.grnet.gr), αλλά
>> κάνοντας SPF για τον αποστολέα (@noc.grnet.gr) βλέπει πως ο ΜΧ αυτός
>> δεν είναι στους MX του domain του αποστολέα: Το SPF policy του
>> noc.grnet.gr δεν αφήνει τον mx0.grnet.gr να εμφανίζεται ως αποστολέας
>> email γι' αυτό το domain. Λόγω του hardfail (-all) στο SPF record για
>> το noc.grnet.gr domain, ο mx της cyta κάνει drop το email αυτό.
>>
>> -----------------------------------------------------------------------
>> ---
>> This message was created automatically by mail delivery software.
>>
>> A message that you sent could not be delivered to one or more of its
>> recipients. This is a permanent error. The following address(es)
>> failed:
>>
>> michalis.bersimis at hq.cyta.gr
>> (generated from pc at grnog.gr)
>> SMTP error from remote mail server after RCPT
>> TO:<michalis.bersimis at hq.cyta.gr>:
>> host promitheas2.cytanet.com.cy [2a00:1358:2000:a0a:1000::6]:
>> 550 5.7.1 <michalis.bersimis at hq.cyta.gr>: Recipient address rejected:
>> Please see
>> http://www.openspf.net/Why?s=mfrom;id=apolyr%40noc.grnet.gr;ip=2001%3A648%3A2ffc%3A200%3A%3A161;
>> r=promitheas2.pri.cytanet.com.cy
>>
>> ------ This is a copy of the message, including all the headers. -
>> -----
>>
>> Return-path: <apolyr at noc.grnet.gr>
>> Received: from mail.noc.grnet.gr ([2001:648:2340:4::5])
>> by mx0.grnet.gr (envelope-from <apolyr at noc.grnet.gr>)
>> with esmtp (Exim 4.80 (Debian GNU/Linux))
>> id 1YdyMP-0001vT-MC; Fri, 03 Apr 2015 12:57:58 +0300
>> -----------------------------------------------------------------------
>> ---
>>
>> Ως "λύση" αλλάξαμε το hardfail για το noc.grnet.gr σε softfail. Αυτό
>> λύνει το πρόβλημα για εμένα, αλλά δυνητικά κάποιος χρήστης που ανήκει
>> σε domain με hardfail policy δεν θα μπορεί να σου στείλει email.
>>
>> Δεν είμαι σίγουρος ποια είναι η σωστή λύση στο πρόβλημα. Έχω την
>> εντύπωση ότι πολλοί (πχ gmail) υλοποιούν πιο "χαλαρή" πολιτική και
>> τελικά επιτρέπουν και τα hardfail.
>>
>> Φιλικά,
>>
>>      
>>
>>

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20150409/91693f77/attachment.html>

More information about the grnog-members mailing list