[MASOCH-L] SPF do Terra e outras questões

Terra Networks terra.gter at terra.com.br
Wed Jul 27 18:10:27 BRT 2005 

Caros senhores,

O Terra defende a idéia de que servidores de correio eletrônico na
internet não devem enviar mensagens com domínios que não estejam
autorizados.

O uso de "redirect" que simplesmente reescreve o recipiente da mensagem
viola as cláusulas V e IX dos Requisitos Técnicos para Entrega de
Correio Eletrônico no Terra, conforme descritas na seguinte página:
http://www.terra.com.br/postmaster/

Como alternativa para quem estiver experimentando alguma dificuldade na
implementação do SRS, há o Trusted Forwarder:
http://trusted-forwarder.org/
O Terra consulta essa whitelist (o que é o comportamento default da
libspf) e continuará consultando enquanto o uso do SRS ainda não estiver
suficientemente difundido.


On Wed, 27 Jul 2005 15:43:42 -0300
Jeronimo Zucco <jczucco at ucs.br> wrote:

>    Essa dificuldade da implantação do SRS é um fator determinante na não adoção
> do SPF. E, pelo jeito, poucos aqui da lista conseguiram implantar.
> 
>    Bom, tentando contornar esse problema (até que o SRS seja simples de ser
> implementado), o recomendável seria deixar o registro spf com "~all", correto? 
> Porém, no caso de vocês, como tratam o soft-fail ? Direciona para uma segunda
> verificação, coloca em greylisting, etc ?
> 
>    Como eu posso colocar no postfix para que quando um domínio der softfail no
> SPF, faço uma nova verificação, como a verificação do reverso, por exemplo?
> Apenas no caso de softfail. Por pipe ? Script ?
> 
> 
> --
> Jeronimo Zucco
> LPIC-1 Linux Professional Institute Certified
> Núcleo de Processamento de Dados
> Universidade de Caxias do Sul
> 
> 
> Citando Anderson Nadal <security at onda.com.br>:
> 
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> >
> > Oi João.
> >
> > > E' lastimavel o terra, o bol entre outros estarem bloqueando
> > > mensagens legitimas,
> >
> > Isso é um comportamento normal e previsto do SPF.
> >
> > > mas veja pelo lado deles, se o dominio com o
> > > forward/alias/redirecionamento estiver hospedado com eles, duvido
> > > que o email nao chegue...
> >
> > Com certeza vai chegar, não somente no Terra, como em qualquer outro
> > provedor que utilize SPF, os dominios que estão locais vão funcionar
> > sem problema.
> >
> > >
> > > Vamos hospedar no terra :)
> >
> > :)
> >
> > >
> > > Joao Reis.
> > >
> > > On Wed, 2005-07-27 at 11:51 -0300, Marcelo Coelho wrote:
> > >
> > >> Olá João,
> > >>
> > >> Concordo com você. Se a declaração do registro SPF, que é
> > >> simples, não foi feita por muita gente, imagine então SRS, que
> > >> envolve patches, testes, etc.
> > >>
> > >> Nem todo mundo usa postfix/exim/sendmail/qmail. Existem vários
> > >> MTA's por aí, alguns bem antigos, a perspectiva destes
> > >> implementarem SPF ou SRS é quase nula.
> > >>
> > >> Se o Terra declara SPF com -all sabe que irá recusar mensagens
> > >> redirecionadas de outros servidores, mas acho que é uma escolha
> > >> de quem declara com -all.
> > >>
> > >> Em alguns casos, já encontrei quem sugerisse editar o Return-Path
> > >> com usuario%dominio.com at servidor.com, para que um possível erro
> > >> seja encaminhado de volta para o usuário. Isso não causaria uma
> > >> falha de open relay no servidor?
> > >>
> > >> Bastaria mandar uma mensagem usando nullsender <> para
> > >> usuario%dominio.com at servidor.com para que o mesmo retransmitisse
> > >> para o destinatário, ou seja, o relay ficaria aberto. Certo?
> > >>
> > >> Em outros casos, vi que o SRS codifica o Return-Path, acho que
> > >> visando evitar o problema acima. Mas isso não causaria um relay
> > >> aberto para um usuário específico? Não permitiria, por exemplo,
> > >> usar um servidor para enviar mailbomb para um e-mail específico
> > >> de outro servidor?
> > >>
> > >> -- Marcelo Coelho marcelo at tpn.com.br
> > >>
> > >>
> > >>
> > >>
> > >>
> > >>
> > >>
> > >>
> > >>
> > >>
> > >> ----- Original Message ----- From: "Joao" <joao at cyberweb.com.br>
> > >> To: "Mail Aid and Succor, On-line Comfort and Help"
> > >> <masoch-l at eng.registro.br> Sent: Wednesday, July 27, 2005 11:30
> > >> AM Subject: Re: [MASOCH-L] SPF do Terra
> > >>
> > >>
> > >> Outra... resposta que recebi do Sr. Victor Duchovni (criador de
> > >> varios patches para o postfix entre outras contribuicoes...)
> > >> referente a implementacao do SRS junto ao postfix:
> > >>
> > >> "The simple answer is don't do it. If a sending domain publishes
> > >> SPF records that don't end in "?all", any collateral damage to
> > >> forwarded mail is their choice. If a receiving domain violates
> > >> the specification and ignores "?all" any legimate mail they don't
> > >> get is their choice."
> > >>
> > >> isso foi em 21/07.
> > >>
> > >> Algum ponto aqui? No meu caso, eu vejo a implementacao do SPF
> > >> como responsabilidade do dominio que aplicou a politica, sendo o
> > >> cliente um vitima direta de um dos defeitos do SPF.
> > >>
> > >> to chegando a conclusao que se o terra, ou bol ou seja la que for
> > >> estiver com -all, realmente, o problema nao eh meu. Se acontece
> > >> isso com meus clientes, posso muito bem fazer a liberacao no mx
> > >> para q nao exista a verificacao de SPF *e nao prejudicar meus
> > >> clientes*.
> > >>
> > >> Por favor, me apontem onde estou equivocado ou se concordam com
> > >> isso, soh acho q ninguem realmente achou uma solucao definitiva
> > >> para o problema....
> > >>
> > >> Obrigado, Joao Reis.
> > >>
> > >> On Wed, 2005-07-27 at 10:44 -0300, Joao wrote:
> > >>
> > >>> Desculpem, mas apontar o site da libsrs nao responde a pergunta
> > >>> do Jeronimo....
> > >>>
> > >>> Segundo o site do libsrs2 para fazer tal implementacao no
> > >>> postfix, teriamos que fazer um downgrade no postfix e e aplicar
> > >>> o patch, sendo q quem usa dominios virtuais nao poderia usar
> > >>> esse patch(acredito eu...)
> > >>>
> > >>> Teremos todos que ser programadores C para usar a biblioteca em
> > >>> nossos MTAS?
> > >>>
> > >>> Ler isso http://www.libsrs2.org/docs/mta-users.html para saber
> > >>> como anda a implementacao de patchs. A pergunta e: Quem daqui
> > >>> tem realmente o SRS implementado?
> > >>>
> > >>> Fiz a implementacao em nivel de teste para um postfix e
> > >>> funcionou, o problema e apenas para dominios virtuais...
> > >>>
> > >>> "Se nao faz parte da solucao, entao faz parte do problema."
> > >>>
> > >>> Joao Reis.
> > >>>
> > >>>
> > >>> On Wed, 2005-07-27 at 08:51 -0300, Lao DanTong wrote:
> > >>>
> > >>>> On Wed, 27 Jul 2005, Jeronimo Zucco wrote:
> > >>>>
> > >>>>> Realmente o SRS é um problemão. E muita gente está
> > >>>>> aplicando SPF sem o SRS (inclusive eu). Alguém têm uma boa
> > >>>>> documentação da aplicação do
> > >>
> > >> SRS
> > >>
> > >>>>> no postfix ?
> > >>>>
> > >>>> http://libsrs2.org/ __ masoch-l list
> > >>>> https://eng.registro.br/mailman/listinfo/masoch-l
> > >>>
> > >>> __ masoch-l list
> > >>> https://eng.registro.br/mailman/listinfo/masoch-l
> > >>
> > >> __ masoch-l list
> > >> https://eng.registro.br/mailman/listinfo/masoch-l
> > >>
> > >> __ masoch-l list
> > >> https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> > >
> > > __ masoch-l list https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> > - --
> > +-------------------------------------------------------+
> > |        Anderson Nadal <nadal at ondacorp.com.br>         |
> > |        RHCE - Red Hat Certified Engineer              |
> > |                Coordenador Tecnico                    |
> > | Onda Provedor de Serviços S/A http://www.onda.com.br  |
> > |          Registered Linux User: 56841                 |
> > |     PGP KEY: www.keyserver.net KEY ID 6ABB668D        |
> > | "There are 10 types of people in the world: Those who |
> > |    understand binary, and those who don't"            |
> > |                     M.O.V.I                           |
> > +-------------------------------------------------------+
> > -----BEGIN PGP SIGNATURE-----
> > Version: GnuPG v1.4.1 (GNU/Linux)
> > Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
> >
> > iD8DBQFC58oULQAusHT90XQRAoZaAJ9Mg1zB0m/AdBp1acYLTet53soDdQCfaoJm
> > FW5ZTzn7V3ZjrT2zM1vrGPE=
> > =Z89i
> > -----END PGP SIGNATURE-----
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> 
> 
> ----------------------------------------------------------------
> This message was sent using IMP, the Internet Messaging Program.
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

-- 
TERRA NETWORKS BRASIL

Atenção! Mensagens enviadas para o endereço <terra.gter at terra.com.br> não
serão respondidas. Esse endereço é usado única e exclusivamente para o
recebimento de mensagens das listas do GTER.

Para entrar em contato com o Departamento Técnico do Terra, utilize o fomulário
acessível no final da página:
http://www.terra.com.br/postmaster
.

More information about the masoch-l mailing list