Re: [MASOCH-L] SPF do Terra e outras questões
Rodrigo Campos
camposr at gmail.com
Wed Jul 27 18:56:56 BRT 2005
Para quem usa postfix, pode-se simplesmente usar um SRS de pobre... :)
canonical_maps = pcre:/etc/postfix/pcre_canonical_maps
canonical_classes = envelope_sender
E no pcre_canonical_maps:
if !/@seu.dominio/
/^(.+?)@(.+)/ no-reply+$1=$2 at seu.dominio
endif
Ou simplesmente:
if !/@seu.dominio/
/./ no-reply at seu.dominio
endif
Esse exemplo NÃO é completo, NÃO cobre todas as possibilidades e NÃO
tem a pretensão de ser a prova de falhas, mas é um exemplo do que se
pode fazer com um pouquinho de criatividade e que faria com que um
e-mail relay sempre enviasse as mensagens com um domínio válido diante
do registro SPF.
On 7/27/05, Terra Networks <terra.gter at terra.com.br> wrote:
> Caros senhores,
>
> O Terra defende a idéia de que servidores de correio eletrônico na
> internet não devem enviar mensagens com domínios que não estejam
> autorizados.
>
> O uso de "redirect" que simplesmente reescreve o recipiente da mensagem
> viola as cláusulas V e IX dos Requisitos Técnicos para Entrega de
> Correio Eletrônico no Terra, conforme descritas na seguinte página:
> http://www.terra.com.br/postmaster/
>
> Como alternativa para quem estiver experimentando alguma dificuldade na
> implementação do SRS, há o Trusted Forwarder:
> http://trusted-forwarder.org/
> O Terra consulta essa whitelist (o que é o comportamento default da
> libspf) e continuará consultando enquanto o uso do SRS ainda não estiver
> suficientemente difundido.
>
>
> On Wed, 27 Jul 2005 15:43:42 -0300
> Jeronimo Zucco <jczucco at ucs.br> wrote:
>
> > Essa dificuldade da implantação do SRS é um fator determinante na não adoção
> > do SPF. E, pelo jeito, poucos aqui da lista conseguiram implantar.
> >
> > Bom, tentando contornar esse problema (até que o SRS seja simples de ser
> > implementado), o recomendável seria deixar o registro spf com "~all", correto?
> > Porém, no caso de vocês, como tratam o soft-fail ? Direciona para uma segunda
> > verificação, coloca em greylisting, etc ?
> >
> > Como eu posso colocar no postfix para que quando um domínio der softfail no
> > SPF, faço uma nova verificação, como a verificação do reverso, por exemplo?
> > Apenas no caso de softfail. Por pipe ? Script ?
> >
> >
> > --
> > Jeronimo Zucco
> > LPIC-1 Linux Professional Institute Certified
> > Núcleo de Processamento de Dados
> > Universidade de Caxias do Sul
> >
> >
> > Citando Anderson Nadal <security at onda.com.br>:
> >
> > > -----BEGIN PGP SIGNED MESSAGE-----
> > > Hash: SHA1
> > >
> > > Oi João.
> > >
> > > > E' lastimavel o terra, o bol entre outros estarem bloqueando
> > > > mensagens legitimas,
> > >
> > > Isso é um comportamento normal e previsto do SPF.
> > >
> > > > mas veja pelo lado deles, se o dominio com o
> > > > forward/alias/redirecionamento estiver hospedado com eles, duvido
> > > > que o email nao chegue...
> > >
> > > Com certeza vai chegar, não somente no Terra, como em qualquer outro
> > > provedor que utilize SPF, os dominios que estão locais vão funcionar
> > > sem problema.
> > >
> > > >
> > > > Vamos hospedar no terra :)
> > >
> > > :)
> > >
> > > >
> > > > Joao Reis.
> > > >
> > > > On Wed, 2005-07-27 at 11:51 -0300, Marcelo Coelho wrote:
> > > >
> > > >> Olá João,
> > > >>
> > > >> Concordo com você. Se a declaração do registro SPF, que é
> > > >> simples, não foi feita por muita gente, imagine então SRS, que
> > > >> envolve patches, testes, etc.
> > > >>
> > > >> Nem todo mundo usa postfix/exim/sendmail/qmail. Existem vários
> > > >> MTA's por aí, alguns bem antigos, a perspectiva destes
> > > >> implementarem SPF ou SRS é quase nula.
> > > >>
> > > >> Se o Terra declara SPF com -all sabe que irá recusar mensagens
> > > >> redirecionadas de outros servidores, mas acho que é uma escolha
> > > >> de quem declara com -all.
> > > >>
> > > >> Em alguns casos, já encontrei quem sugerisse editar o Return-Path
> > > >> com usuario%dominio.com at servidor.com, para que um possível erro
> > > >> seja encaminhado de volta para o usuário. Isso não causaria uma
> > > >> falha de open relay no servidor?
> > > >>
> > > >> Bastaria mandar uma mensagem usando nullsender <> para
> > > >> usuario%dominio.com at servidor.com para que o mesmo retransmitisse
> > > >> para o destinatário, ou seja, o relay ficaria aberto. Certo?
> > > >>
> > > >> Em outros casos, vi que o SRS codifica o Return-Path, acho que
> > > >> visando evitar o problema acima. Mas isso não causaria um relay
> > > >> aberto para um usuário específico? Não permitiria, por exemplo,
> > > >> usar um servidor para enviar mailbomb para um e-mail específico
> > > >> de outro servidor?
> > > >>
> > > >> -- Marcelo Coelho marcelo at tpn.com.br
> > > >>
> > > >>
> > > >>
> > > >>
> > > >>
> > > >>
> > > >>
> > > >>
> > > >>
> > > >>
> > > >> ----- Original Message ----- From: "Joao" <joao at cyberweb.com.br>
> > > >> To: "Mail Aid and Succor, On-line Comfort and Help"
> > > >> <masoch-l at eng.registro.br> Sent: Wednesday, July 27, 2005 11:30
> > > >> AM Subject: Re: [MASOCH-L] SPF do Terra
> > > >>
> > > >>
> > > >> Outra... resposta que recebi do Sr. Victor Duchovni (criador de
> > > >> varios patches para o postfix entre outras contribuicoes...)
> > > >> referente a implementacao do SRS junto ao postfix:
> > > >>
> > > >> "The simple answer is don't do it. If a sending domain publishes
> > > >> SPF records that don't end in "?all", any collateral damage to
> > > >> forwarded mail is their choice. If a receiving domain violates
> > > >> the specification and ignores "?all" any legimate mail they don't
> > > >> get is their choice."
> > > >>
> > > >> isso foi em 21/07.
> > > >>
> > > >> Algum ponto aqui? No meu caso, eu vejo a implementacao do SPF
> > > >> como responsabilidade do dominio que aplicou a politica, sendo o
> > > >> cliente um vitima direta de um dos defeitos do SPF.
> > > >>
> > > >> to chegando a conclusao que se o terra, ou bol ou seja la que for
> > > >> estiver com -all, realmente, o problema nao eh meu. Se acontece
> > > >> isso com meus clientes, posso muito bem fazer a liberacao no mx
> > > >> para q nao exista a verificacao de SPF *e nao prejudicar meus
> > > >> clientes*.
> > > >>
> > > >> Por favor, me apontem onde estou equivocado ou se concordam com
> > > >> isso, soh acho q ninguem realmente achou uma solucao definitiva
> > > >> para o problema....
> > > >>
> > > >> Obrigado, Joao Reis.
> > > >>
> > > >> On Wed, 2005-07-27 at 10:44 -0300, Joao wrote:
> > > >>
> > > >>> Desculpem, mas apontar o site da libsrs nao responde a pergunta
> > > >>> do Jeronimo....
> > > >>>
> > > >>> Segundo o site do libsrs2 para fazer tal implementacao no
> > > >>> postfix, teriamos que fazer um downgrade no postfix e e aplicar
> > > >>> o patch, sendo q quem usa dominios virtuais nao poderia usar
> > > >>> esse patch(acredito eu...)
> > > >>>
> > > >>> Teremos todos que ser programadores C para usar a biblioteca em
> > > >>> nossos MTAS?
> > > >>>
> > > >>> Ler isso http://www.libsrs2.org/docs/mta-users.html para saber
> > > >>> como anda a implementacao de patchs. A pergunta e: Quem daqui
> > > >>> tem realmente o SRS implementado?
> > > >>>
> > > >>> Fiz a implementacao em nivel de teste para um postfix e
> > > >>> funcionou, o problema e apenas para dominios virtuais...
> > > >>>
> > > >>> "Se nao faz parte da solucao, entao faz parte do problema."
> > > >>>
> > > >>> Joao Reis.
> > > >>>
> > > >>>
> > > >>> On Wed, 2005-07-27 at 08:51 -0300, Lao DanTong wrote:
> > > >>>
> > > >>>> On Wed, 27 Jul 2005, Jeronimo Zucco wrote:
> > > >>>>
> > > >>>>> Realmente o SRS é um problemão. E muita gente está
> > > >>>>> aplicando SPF sem o SRS (inclusive eu). Alguém têm uma boa
> > > >>>>> documentação da aplicação do
> > > >>
> > > >> SRS
> > > >>
> > > >>>>> no postfix ?
> > > >>>>
> > > >>>> http://libsrs2.org/ __ masoch-l list
> > > >>>> https://eng.registro.br/mailman/listinfo/masoch-l
> > > >>>
> > > >>> __ masoch-l list
> > > >>> https://eng.registro.br/mailman/listinfo/masoch-l
> > > >>
> > > >> __ masoch-l list
> > > >> https://eng.registro.br/mailman/listinfo/masoch-l
> > > >>
> > > >> __ masoch-l list
> > > >> https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > > >
> > > > __ masoch-l list https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > >
> > > - --
> > > +-------------------------------------------------------+
> > > | Anderson Nadal <nadal at ondacorp.com.br> |
> > > | RHCE - Red Hat Certified Engineer |
> > > | Coordenador Tecnico |
> > > | Onda Provedor de Serviços S/A http://www.onda.com.br |
> > > | Registered Linux User: 56841 |
> > > | PGP KEY: www.keyserver.net KEY ID 6ABB668D |
> > > | "There are 10 types of people in the world: Those who |
> > > | understand binary, and those who don't" |
> > > | M.O.V.I |
> > > +-------------------------------------------------------+
> > > -----BEGIN PGP SIGNATURE-----
> > > Version: GnuPG v1.4.1 (GNU/Linux)
> > > Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
> > >
> > > iD8DBQFC58oULQAusHT90XQRAoZaAJ9Mg1zB0m/AdBp1acYLTet53soDdQCfaoJm
> > > FW5ZTzn7V3ZjrT2zM1vrGPE=
> > > =Z89i
> > > -----END PGP SIGNATURE-----
> > >
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> >
> > ----------------------------------------------------------------
> > This message was sent using IMP, the Internet Messaging Program.
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
>
> --
> TERRA NETWORKS BRASIL
>
> Atenção! Mensagens enviadas para o endereço <terra.gter at terra.com.br> não
> serão respondidas. Esse endereço é usado única e exclusivamente para o
> recebimento de mensagens das listas do GTER.
>
> Para entrar em contato com o Departamento Técnico do Terra, utilize o fomulário
> acessível no final da página:
> http://www.terra.com.br/postmaster
> .
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
Rodrigo Campos
More information about the masoch-l
mailing list