[MASOCH-L] SPF do Terra e outras questões

Wed Jul 27 15:43:42 BRT 2005

   Essa dificuldade da implantação do SRS é um fator determinante na não adoção
do SPF. E, pelo jeito, poucos aqui da lista conseguiram implantar.

   Bom, tentando contornar esse problema (até que o SRS seja simples de ser
implementado), o recomendável seria deixar o registro spf com "~all", correto? 
Porém, no caso de vocês, como tratam o soft-fail ? Direciona para uma segunda
verificação, coloca em greylisting, etc ?

   Como eu posso colocar no postfix para que quando um domínio der softfail no
SPF, faço uma nova verificação, como a verificação do reverso, por exemplo?
Apenas no caso de softfail. Por pipe ? Script ?

--
Jeronimo Zucco
LPIC-1 Linux Professional Institute Certified
Núcleo de Processamento de Dados
Universidade de Caxias do Sul

Citando Anderson Nadal <security at onda.com.br>:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Oi João.
>
> > E' lastimavel o terra, o bol entre outros estarem bloqueando
> > mensagens legitimas,
>
> Isso é um comportamento normal e previsto do SPF.
>
> > mas veja pelo lado deles, se o dominio com o
> > forward/alias/redirecionamento estiver hospedado com eles, duvido
> > que o email nao chegue...
>
> Com certeza vai chegar, não somente no Terra, como em qualquer outro
> provedor que utilize SPF, os dominios que estão locais vão funcionar
> sem problema.
>
> >
> > Vamos hospedar no terra :)
>
> :)
>
> >
> > Joao Reis.
> >
> > On Wed, 2005-07-27 at 11:51 -0300, Marcelo Coelho wrote:
> >
> >> Olá João,
> >>
> >> Concordo com você. Se a declaração do registro SPF, que é
> >> simples, não foi feita por muita gente, imagine então SRS, que
> >> envolve patches, testes, etc.
> >>
> >> Nem todo mundo usa postfix/exim/sendmail/qmail. Existem vários
> >> MTA's por aí, alguns bem antigos, a perspectiva destes
> >> implementarem SPF ou SRS é quase nula.
> >>
> >> Se o Terra declara SPF com -all sabe que irá recusar mensagens
> >> redirecionadas de outros servidores, mas acho que é uma escolha
> >> de quem declara com -all.
> >>
> >> Em alguns casos, já encontrei quem sugerisse editar o Return-Path
> >> com usuario%dominio.com at servidor.com, para que um possível erro
> >> seja encaminhado de volta para o usuário. Isso não causaria uma
> >> falha de open relay no servidor?
> >>
> >> Bastaria mandar uma mensagem usando nullsender <> para
> >> usuario%dominio.com at servidor.com para que o mesmo retransmitisse
> >> para o destinatário, ou seja, o relay ficaria aberto. Certo?
> >>
> >> Em outros casos, vi que o SRS codifica o Return-Path, acho que
> >> visando evitar o problema acima. Mas isso não causaria um relay
> >> aberto para um usuário específico? Não permitiria, por exemplo,
> >> usar um servidor para enviar mailbomb para um e-mail específico
> >> de outro servidor?
> >>
> >> -- Marcelo Coelho marcelo at tpn.com.br
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >> ----- Original Message ----- From: "Joao" <joao at cyberweb.com.br>
> >> To: "Mail Aid and Succor, On-line Comfort and Help"
> >> <masoch-l at eng.registro.br> Sent: Wednesday, July 27, 2005 11:30
> >> AM Subject: Re: [MASOCH-L] SPF do Terra
> >>
> >>
> >> Outra... resposta que recebi do Sr. Victor Duchovni (criador de
> >> varios patches para o postfix entre outras contribuicoes...)
> >> referente a implementacao do SRS junto ao postfix:
> >>
> >> "The simple answer is don't do it. If a sending domain publishes
> >> SPF records that don't end in "?all", any collateral damage to
> >> forwarded mail is their choice. If a receiving domain violates
> >> the specification and ignores "?all" any legimate mail they don't
> >> get is their choice."
> >>
> >> isso foi em 21/07.
> >>
> >> Algum ponto aqui? No meu caso, eu vejo a implementacao do SPF
> >> como responsabilidade do dominio que aplicou a politica, sendo o
> >> cliente um vitima direta de um dos defeitos do SPF.
> >>
> >> to chegando a conclusao que se o terra, ou bol ou seja la que for
> >> estiver com -all, realmente, o problema nao eh meu. Se acontece
> >> isso com meus clientes, posso muito bem fazer a liberacao no mx
> >> para q nao exista a verificacao de SPF *e nao prejudicar meus
> >> clientes*.
> >>
> >> Por favor, me apontem onde estou equivocado ou se concordam com
> >> isso, soh acho q ninguem realmente achou uma solucao definitiva
> >> para o problema....
> >>
> >> Obrigado, Joao Reis.
> >>
> >> On Wed, 2005-07-27 at 10:44 -0300, Joao wrote:
> >>
> >>> Desculpem, mas apontar o site da libsrs nao responde a pergunta
> >>> do Jeronimo....
> >>>
> >>> Segundo o site do libsrs2 para fazer tal implementacao no
> >>> postfix, teriamos que fazer um downgrade no postfix e e aplicar
> >>> o patch, sendo q quem usa dominios virtuais nao poderia usar
> >>> esse patch(acredito eu...)
> >>>
> >>> Teremos todos que ser programadores C para usar a biblioteca em
> >>> nossos MTAS?
> >>>
> >>> Ler isso http://www.libsrs2.org/docs/mta-users.html para saber
> >>> como anda a implementacao de patchs. A pergunta e: Quem daqui
> >>> tem realmente o SRS implementado?
> >>>
> >>> Fiz a implementacao em nivel de teste para um postfix e
> >>> funcionou, o problema e apenas para dominios virtuais...
> >>>
> >>> "Se nao faz parte da solucao, entao faz parte do problema."
> >>>
> >>> Joao Reis.
> >>>
> >>>
> >>> On Wed, 2005-07-27 at 08:51 -0300, Lao DanTong wrote:
> >>>
> >>>> On Wed, 27 Jul 2005, Jeronimo Zucco wrote:
> >>>>
> >>>>> Realmente o SRS é um problemão. E muita gente está
> >>>>> aplicando SPF sem o SRS (inclusive eu). Alguém têm uma boa
> >>>>> documentação da aplicação do
> >>
> >> SRS
> >>
> >>>>> no postfix ?
> >>>>
> >>>> http://libsrs2.org/ __ masoch-l list
> >>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>
> >>> __ masoch-l list
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>
> >> __ masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >>
> >> __ masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >
> >
> > __ masoch-l list https://eng.registro.br/mailman/listinfo/masoch-l
> >
>
> - --
> +-------------------------------------------------------+
> |        Anderson Nadal <nadal at ondacorp.com.br>         |
> |        RHCE - Red Hat Certified Engineer              |
> |                Coordenador Tecnico                    |
> | Onda Provedor de Serviços S/A http://www.onda.com.br  |
> |          Registered Linux User: 56841                 |
> |     PGP KEY: www.keyserver.net KEY ID 6ABB668D        |
> | "There are 10 types of people in the world: Those who |
> |    understand binary, and those who don't"            |
> |                     M.O.V.I                           |
> +-------------------------------------------------------+
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.1 (GNU/Linux)
> Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
>
> iD8DBQFC58oULQAusHT90XQRAoZaAJ9Mg1zB0m/AdBp1acYLTet53soDdQCfaoJm
> FW5ZTzn7V3ZjrT2zM1vrGPE=
> =Z89i
> -----END PGP SIGNATURE-----
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.