[MASOCH-L] Adoção de SPF

[Danton Nunes]

On Wed, 19 Jan 2011, Leandro Carlos Rodrigues wrote:

>>  Claro.  Já tentou implementar SRS em um MTA de 100-500 msg/s ?  Só tem
>>  implementação lerda, em perl ou python, que é apropriada só para MX
>>  pequeno de 10 msg/s.  Ninguém escreveu um plugin em C, devidamente
>>  testado, para integrar com postfix e exim, que implemente o SRS.
>>  Agora, *verificar* o SPF e rejeitar qualquer mensagem que falhe, muita
>>  gente faz mesmo sem implementar o SRS, e muito menos publicar registros
>>  SPF.  Tem plugin de alta performance para verificar SPF, afinal de 
>> contas...
>
>
> Henrique concordo contigo. Neste caso pensei em uma solução que talvez seja 
> viável e seria assunto de outra discussão.

na verdade SRS só é necessário em retransmissores de email, tipo servidor 
queue-only ou no caso de redireção feita pelo usuário (como o .forward).

no primeiro caso é bem mais fácil declarar o servidor queue-only como 
'trusted' e não verificar o SPF do que vier dele, desde que ele mesmo já 
tenha feito essa verificação antes. assim não precisa do SRS.

no servidor de produção, o SRS só vai ser necessário para as mensagens 
.forward'ed (estou usando uma nomenclatura de sendmail/procmail), que deve 
ser uma proporção pequena de todo o fluxo. do jeito que está escrito 
parece que o script de baixa eficiência teria que ser aplicado a toda 
mensagem, o que é falso.

> Como existe plugins de alta performance para verificar SPF, então seja mais 
> viável fazer SRS somente quando o domínio do remetente tiver SPF.

e, além disso, a mensagem não se destina à entrega local, isto é, é 
.forward'ed.

> Imagine o seguinte algoritmo: Se o MTA recebe e precisa fazer forward, então 
> verifique se o domínio do remetente tem registro SPF, caso positivo faça SRS 
> e repasse, senão simplesmente repasse.

Bingo!

> Como nem todos fazem forward e poucos utilizam SPF, a incidência de SRS com 
> este algorítimo seria baixíssima.

Exatamente.

> Anísio, agente precisa verificar se a Oracle utiliza DKIM que é uma 
> tecnologia bem melhor que o SPF.

concordo que DKIM é melhor, mas é bom notar que os propósitos de ambos são 
diferentes. O SPF serve para validar a associação entre endereço IP e 
remetente no envelope. O DKIM valida a mensagem em si, assinando parte dos 
cabeçalhos e do conteúdo. É bem mais pesado verificar a validade de uma 
assinatura DKIM do que uma lista de controle de acesso do SPF, mas o DKIM 
tem a virtude da ortogonalidade, tudo é resolvido na mesma camada do 
protocolo. Essa questão de ter que reescrever os envelopes das mensagens 
.forward'ed vem exatamente da falta de ortogonalidade entre camadas do 
SPF.

> Utilizar o SPF como ferramenta determinística anti-spam é o erro.

mesmo quando dá 'fail'?