[MASOCH-L] Erro checando SPF da Locaweb

Rafael Henrique Faria rafaelhfaria at cenadigital.com.br
Fri Jul 4 08:38:58 -03 2014


Boa tarde Bruno.

Então, neste caso, ele não conseguirá utilizar a Locaweb junto. Pelo
limite da própria RFC-4408 (10.1. Processing Limits).

Eu não sei se isso é de conhecimento da Locaweb, se eles que fornecem
aos clientes de famoso e-mail marketing deles a configuração para
incluir o _spf.locaweb.com.br em suas configurações de SPF. Se eles
que fornecem essa configuração, pode ser que eles não tenham se dado
conta que o SPF deles já está no limite de requisições.

Fazendo as contas:

[1] 3corp.com.br: "v=spf1 include:_spf.locaweb.com.br
include:_spf.google.com ?all"
[2] _spf.locaweb.com.br: "v=spf1 ip4:200.234.192.0/19
ip4:201.76.32.0/19 ip4:189.126.96.0/19 ip4:187.45.192.0/19
ip4:187.45.224.0/19 ip4:216.163.188.0/24 ip4:65.74.168.0/24
ip4:186.202.1.0/25 ip4:186.202.0.0/24 ip4:186.202.9.64/26
include:_spf2.locaweb.com.br mx/24 ?all"
[3] _spf2.locaweb.com.br: "v=spf1 ip4:10.20.54.0/26
ip4:200.234.210.0/25 ip4:186.202.22.0/28 ip4:186.202.140.160/27
ip4:186.202.21.128/25 ip4:177.153.9.0/26 ip4:191.252.28.0/24
ip4:191.252.29.0/24 include:relay.mailchannels.net mx/24 ?all"
[4] relay.mailchannels.net: "v=spf1 include:spf1.mailchannels.net
include:spf2.mailchannels.net include:spf3.mailchannels.net
include:spf4.mailchannels.net include:spf5.mailchannels.net
include:spf6.mailchannels.net"
[5] spf1.mailchannels.net: "v=spf1 ip4:108.178.49.163/32
ip4:108.178.49.164/30 ip4:108.178.49.168/29 ip4:198.20.101.156/31
ip4:198.20.101.220/30 ip4:198.20.101.224/30 ip4:198.20.101.228/31
ip4:198.20.101.230/32 ip4:198.20.101.152 ip4:198.20.122.7"
[6] spf2.mailchannels.net: "v=spf1 ip4:184.154.112.128/25
ip4:204.187.13.88/29 ip4:50.115.116.0/25 ip4:50.115.116.128/27
ip4:174.127.115.80/28 ip4:174.127.117.204 ip4:198.20.121.0/24
ip4:173.236.122.32/30 ip4:173.236.122.36/30"
[7] spf3.mailchannels.net: "v=spf1 ip4:107.6.164.0/24
ip4:107.6.181.0/24 ip4:184.154.223.0/24 ip4:184.154.157.0/24"
[8] spf4.mailchannels.net: "v=spf1 ip4:72.249.144.0/24
ip4:72.249.127.0/24 ip4:174.136.5.0/24 ip4:108.161.138.0/24
ip4:162.253.144.0/24"
[9] spf5.mailchannels.net: "v=spf1 ip4:143.95.81.24/29
ip4:143.95.81.24/29 ip4:143.95.81.32/29 ip4:207.210.193.16/28
ip4:174.136.13.64/28 ip4:174.136.13.80/29 ip4:23.91.64.112/28
ip4:23.91.64.128/29"
[10] spf6.mailchannels.net: "v=spf1 ip4:143.95.104.19/32
ip4:143.95.105.19/32 ip4:143.95.106.19/32 ip4:143.95.107.19/32
ip4:143.95.108.19/32 ip4:143.95.109.18/32 ip4:143.95.110.18/32
ip4:143.95.111.16/32"
[11] _spf.localweb.com.br: mx/24

Apenas o _spf.locaweb.com.br já possui sozinho 10 consultas como
podemos observar, 1 como sendo a própria consulta do TXT de
_spf.locaweb.com.br, e mais 8 do include de _spf2.locaweb.com.br, e
mais 1 do mx/24.

Com isso é impossível incluir o _spf.locaweb.com.br em qualquer outro
SPF, mesmo via redirect.

Ou alguém da Locaweb cometeu um erro de configuração do SPF ao incluir
tantos IPs em um único SPF, ou quem indicou o uso de
_spf.locaweb.com.br se equivocou.

E ao meu ver, opinião pessoal, esse 3corp.com.br está utilizando a
Locaweb para enviar spam, digo, e-mail marketing. Pois oficialmente
seus MX não são da Locaweb, mas sim o Google.

E como a Locaweb para tentar fugir das RBL possuem inúmeros IPs para
enviar seus spams, digo, e-mail marketing, acabam abarrotando o SPF,
mas pode ser que não se tocaram que passaram do limite de 10 consultas
de DNS.

Qualquer dúvida, é só dar uma conferida na RFC-4408:
http://www.ietf.org/rfc/rfc4408.txt
No tópico 10.1, que trata sobre os limites de processamento.

Resumindo, cada include, redirect, a, mx, ptr e exists contam como uma
requisição de DNS, as tag ip4 e ip6 não contam.
E acredito que muitos responsáveis pelos domínios desconhecem as
regras do SPF. Acham que basta colocar o que quiserem lá que irá
funcionar. E nós administradores temos que contornar estas falhas. Mas
infelizmente isso acaba fazendo parte do nosso dia a dia.

Espero que consiga resolver por aí facilmente.

Abraço.

2014-07-03 15:10 GMT-03:00 Bruno Vane <broonu at gmail.com>:
> Rafael,
>
> Já que você tocou no assunto da correta utilização do SPF, fiquei com uma
> dúvida a respeito, não sei se você poderia me ajudar.
> Este domínio em específico (3corp.com.br) parece só utilizar SMTP via
> google:
>
> 3corp.com.br mail is handled by 30 aspmx4.googlemail.com.
> 3corp.com.br mail is handled by 30 aspmx5.googlemail.com.
> 3corp.com.br mail is handled by 10 aspmx.l.google.com.
> 3corp.com.br mail is handled by 20 alt1.aspmx.l.google.com.
> 3corp.com.br mail is handled by 20 alt2.aspmx.l.google.com.
> 3corp.com.br mail is handled by 30 aspmx2.googlemail.com.
> 3corp.com.br mail is handled by 30 aspmx3.googlemail.com.
>
> Não sei o que eles utilizam na Locaweb, mas caso eles enviem e-mail tanto
> pelo Google quanto pela Locaweb, qual seria a maneira correta de utilizar o
> SPF? Na verdade a Locaweb já está com 10 consultas:
>
> "v=spf1 ip4:201.76.62.40/32 ip4:201.76.49.0/24 ip4:189.126.112.0/24 ip4:
> 200.234.214.0/26 ip4:187.45.217.64/26 ip4:200.234.214.192/27 ip4:
> 187.45.249.192/26 ip4:186.202.1.0/25 ip4:186.202.0.0/24 ip4:
> 189.126.123.173/32 include:_spflw.locaweb.com.br -all"
>
>
>
> Em 3 de julho de 2014 14:58, Bruno Vane <broonu at gmail.com> escreveu:
>
>> Boa tarde Rafael,
>>
>> Realmente eu nem chequei quem estava causando o problema, quando tenho
>> problemas desse tipo eu entro em contato também, mas não desativo minhas
>> regras.
>>
>> Obrigado pela atenção.
>>
>>
>> Em 3 de julho de 2014 12:06, Rafael Henrique Faria <
>> rafaelhfaria at cenadigital.com.br> escreveu:
>>
>> On Thu, Jul 3, 2014 at 10:12 AM, Bruno Vane <broonu at gmail.com> wrote:
>>> > S-interactive terms limit (10) exceeded;
>>>
>>> Boa tarde Bruno.
>>>
>>> Se você reparar bem o problema não é da Locaweb, mas sim do dominio
>>> 3corp.com.br
>>>
>>> A Locaweb já utiliza 9 consultas de DNS para o seu SPF. Quando o
>>> responsável pelo domínio 3corp.com.br incluiu o da locaweb, já chegou
>>> no limite de 10.
>>> Porém, ele incluiu ainda o spf do Google, que realiza mais 4.
>>>
>>> Então o SPF do domínio 3corp.com.br que está inválido.
>>>
>>> Muita gente reclama que o SPF não funciona, mas ele funciona. O que
>>> não funciona são as pessoas que configuram o mesmo que não conhecem a
>>> RFC, e acham que podem colocar qualquer coisa dentro do SPF que ele
>>> vai continuar funcionando.
>>>
>>> Esses dias para trás, o icloud.com estava com erro de sintaxe na
>>> configuração do SPF.
>>>
>>> Eu sou responsável por um servidor de e-mail na Unesp, e eu coloquei o
>>> SPF como restritivo, se deu erro, a mensagem é negada sem segunda
>>> chance. E eu tenho algumas reclamações sobre isso. Porém eu prefiro
>>> entrar em contato com os responsáveis pelo domínio (whois e soa),
>>> apontando o erro da configuração deles, do que desativar a verificação
>>> de SPF do meu servidor. E eu te afirmo, já vi erros de configuração do
>>> SPF de domínio muito utilizados.
>>>
>>>
>>> --
>>> Rafael Henrique da Silva Faria
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l



-- 
Rafael Henrique da Silva Faria



More information about the masoch-l mailing list