[grnog] Πρόβλημα με το pc at grnog.gr -> cyta

Andreas Polyrakis apolyr at noc.grnet.gr
Tue Apr 14 15:31:17 CEST 2015 

On 04/11/2015 10:57 PM, Kostas Zorbadelos wrote:
> Nikalexis Nikos <nikalexis at modulus.gr> writes:
>
> Καλησπέρα, απάντηση μόνο για λόγους πληρότητας.
>
>>>> Σε αυτούς προφανώς περιλαμβάνονται και οι mailing lists, οπότε αν
>>>> βάλεις hardfail policy θα πρέπει να προσθέσεις στο SPF όλους τους
>>>> mailservers των mailing lists που θέλουν να συμμετέχουν οι χρήστες σου
>>>> (με κάποια include, +a, +mx κλπ records).
>>>> Αυτό προφανώς σε domains με πάρα πολλούς χρήστες (που θα ήθελα να
>>>> συμμετέχουν τυχαία σε διάφορες λίστες) είναι διαχειριστικό σκότωμα,
>>>> αλλά δεν μπορώ να σκεφτώ άλλη λύση, αν επιμένεις στο hardfail.
>>>>
>>> Όχι, αυτό δεν χρειάζεται. Αυτό με προβλημάτισε και εμένα, για αυτό
>>> διάβασα περισσότερα.
>> Εδώ κάπου σε έχασα.
>> Αν το NOC του GRNET είχε βάλει στο SPF του noc.grnet.gr ΚΑΙ το
>> mx0.grnet.gr (που δεν υπάρχει μέχρι και τώρα), τότε θα μπορούσε να
>> συνεχίσει να έχει hardfail policy (-all) και η αποστολή στην λίστα από
>> τον Ανδρέα θα δούλευε κανονικά...
>> Αντί αυτού, απλά "κατέβασε" το policy σε softfail (~all) και δούλεψε
>> απλά και μόνο λόγω χαλαρότερου policy.
>>
>>     host mx0.grnet.gr
>>     mx0.grnet.gr has address 194.177.210.161
>>     mx0.grnet.gr has IPv6 address 2001:648:2ffc:200::161
>>
>>     host -t TXT noc.grnet.gr
>>     noc.grnet.gr descriptive text "v=spf1 mx ip4:194.177.210.169
>>     ip6:2001:648:2ffc:200::169 ~all"
>>
>>     host -t MX noc.grnet.gr
>>     noc.grnet.gr mail is handled by 10 mail.noc.grnet.gr.
>>
>>     host mail.noc.grnet.gr
>>     mail.noc.grnet.gr has address 83.212.9.5
>>     mail.noc.grnet.gr has IPv6 address 2001:648:2340:4::5
> Το πρόβλημα δεν ήταν η αποστολή στη λίστα, αλλά η αποστολή στο
> pc at grnog.gr. Αυτό ήταν (πιθανότατα) alias που έγινε expand και forward
> από το mx0.grnet.gr που δεν ήταν στο SPF.

(επιστρέφω στο thread μετά από αδράνεια λόγω αργιών και @!#$@! αρρώστιας)

Σωστά, το pc at grnog.gr είναι alias.

Το συμπέρασμα στο οποίο καταλήξαμε (και που βλέπω πως επιβεβαιώνεται και 
από την κουβέντα στην λίστα) είναι πως:

Έστω
- domains A,B,C οπού ο χρήστης της ζώνης Α στέλνει mail σε ένα alias 
στην ζώνη Β, η οποία έχει ως παραλήπτη κάποιον στην ζώνη C.
- Οι διαχειριστές των 3 ζωνών είναι μεταξύ τους διαφορετικοί και δεν 
έχουν κάνει κάποια ειδική συνεννόηση για whitelisting

Τότε:
α. Αν το Α έχει ρυθμιστεί με hardfail και ο C τηρεί την πολιτική του Α 
(δηλ hardfail) τότε το mail δεν θα παραληφθεί.
β. Ο διαχειριστής του B δεν μπορεί να κάνει τίποτα για να αποτρέψει το 
παραπάνω.

Από αυτά τα δύο, το δικό μου συμπέρασμα (με την πολύ περιορισμένη 
εμπειρία μου σε θέματα mail) είναι πως δεν πρέπει να ορίζουμε hardfail 
ως πολιτική του domain μας και αντίστοιχα δεν πρέπει να εφαρμόζουμε το 
hardfail σε εισερχόμενα emails αλλά αντί αυτού να χρησιμοποιούμε ένα 
σύστημα με points όπως αυτό που περιέγραψε ο Κώστας.

Φιλικά,


-- 
-----------------------------------------------------------------------
Andreas Polyrakis - apolyr at noc.grnet.gr
GRNET NOC Technical Manager
Greek Research & Technology Network - http://www.grnet.gr
56, Mesogion Av., Ampelokipi, 11527 Athens, Greece
Mobile: +30 6972832445    Office: +30 2107474249   Fax: +30 2107474490
-----------------------------------------------------------------------

More information about the grnog-members mailing list