[MASOCH-L] Consulta SPFBL direta via socket pelo Postfix

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Thu Aug 6 12:25:09 -03 2015


Em 06/08/2015 11:59, Davi Peres escreveu:
> vou almoçar depois vejo

Beleza. Acho que estou entendendo o que está acontecendo.

No LOG do SPFBL eu percebi que tem vários casos de consultas sua.

Parte destas consultas é feita pelo MX de borda e parte por MX interno 
da sua rede.

Quando o MX de borda faz a consulta SPFBL, o mesmo resolve corretamente 
e dá PASS na maioria dos casos.

Quando o MX intermediário faz a consulta SBFBL, o mesmo passa 
informações erradas ao SPFBL, como se a mensagem estivesse sendo 
originada pelo MX de borda.

O que precisa ficar claro ai é que você não pode fazer filtragem SPF no 
roteamento interno da sua rede. O SPF só é feito na borda.

Olhe o exemplo dos parâmetros Postfix do MX interno de um caso seu:

    request=smtpd_access_policy\nprotocol_state=RCPT\nprotocol_name=ESMTP\nclient_address=192.168.6.235\nclient_name=unknown\nreverse_client_name=unknown\nhelo_name=propriet1144b5\nsender=karyna.bigetti at palmali.com.br\nrecipient=aranis.brito at hotmail.com\nrecipient_count=0\nqueue_id=\ninstance=31ad.55c373d6.a930a.0\nsize=0\netrn_domain=\nstress=\nsasl_method=LOGIN\nsasl_username=karyna.bigetti\nsasl_sender=\n\n

Com IP privado 192.168.6.235, HELO sem domínio, etc. Olha a resposta do 
SPFBL para esta consulta:

    action=REJECT [SPF] karyna.bigetti at palmali.com.br is not allowed to
    send mail from 192.168.6.235. Please see
    http://www.openspf.org/why.html?sender=karyna.bigetti@palmali.com.br&ip=192.168.6.235
    for details.\n\n

Então você precisa tirar a consulta SPFBL de todos os MX exceto aqueles 
de borda.

Agora vamos a um caso que o seu MX de borda fez a consulta SPFBL:

    request=smtpd_access_policy\nprotocol_state=RCPT\nprotocol_name=ESMTP\nclient_address=198.143.120.134\nclient_name=spcr-7.feriasmes12.com.br\nreverse_client_name=spcr-7.feriasmes12.com.br\nhelo_name=spcr-7.feriasmes12.com.br\nsender=return at feriasmes12.com.br\nrecipient=sac at palmali.com.br\nrecipient_count=0\nqueue_id=\ninstance=31bb.55c373c8.b17ea.0\nsize=0\netrn_domain=\nstress=\nsasl_method=\nsasl_username=\nsasl_sender=\n\n

Esse ultimo caso aqui deu PASS porque o IP 198.143.120.134 veio da 
Internet e foi autorizado pelo domínio "feriasmes12.com.br".

A resposta do serviço SPFBL, que foi correta, para este caso foi:

    action=PREPEND Received-SPFBL: PASS
    p/0F8Mb51Gl8sAmbDx4k3M7cUWKXVr5fnHVxEshJfsxXHbFazAVP2yRaxJQcxwu3RjQocQcrkX//pEwd6UOZm57Uewpc3sW0YviIBphco0omrFwqg5NKeHeCpWR2Ai2N\n\n

Que deveria ter adicionado o cabeçalho "Received-SPFBL" na mensagem.

Você pode confirmar se esta mensagem específica está com o cabeçalho 
"Received-SPFBL"?

>
> Em 6 de agosto de 2015 11:57, Leandro Carlos Rodrigues <
> leandro at allchemistry.com.br> escreveu:
>
>> Em 06/08/2015 11:53, Davi Peres escreveu:
>>
>>> é no sender ou no recipient restrictions ?
>>> que ponho a conf ?
>>>
>> Pelo que entendi da explicação do Alex, não tem seção especifica.
>>
>> Bastaria incluir a linha que mencionei no arquivo main.cf e correr para o
>> abraço.
>>
>> Se sua configuração tiver mais de uma linha, então estaria errada segundo
>> meu entendimento.
>>
>> Alex. Me corrija ai se eu estiver errado.
>>
>>
>>
>>> Em 6 de agosto de 2015 11:51, Davi Peres <daviperes at gmail.com> escreveu:
>>>
>>> ele ta dando erro de spf
>>>> . Please see
>>>> http://www.openspf.org/why.html?sender=supe@pa.com.br&ip=200.2.2.x for
>>>> details.; from=
>>>> acho que coloquei no lugar errado.
>>>>
>>>> Em 6 de agosto de 2015 11:38, Leandro Carlos Rodrigues <
>>>> leandro at allchemistry.com.br> escreveu:
>>>>
>>>> Em 06/08/2015 11:24, Leandro Carlos Rodrigues escreveu:
>>>>> Em 06/08/2015 11:23, Davi Peres escreveu:
>>>>>> vou testar com aquela ultima versao do arquivo que tenho
>>>>>>> Não precisa mais do arquivo Davi. É só colocar a linha no arquivo
>>>>>> main.cf:
>>>>>>
>>>>>>      check_policy_service inet:54.94.137.168:9877
>>>>>>
>>>>>> Está chovendo de consulta aqui Davi.
>>>>> Seu Postfix apresenta algum erro?
>>>>>
>>>>> As mensagens Estão sendo roteadas e com cabeçalho "Received-SPFBL"
>>>>> adicionado?
>>>>>
>>>>>
>>>>>
>>>>> Em 6 de agosto de 2015 11:17, Leandro Carlos Rodrigues <
>>>>>>> leandro at allchemistry.com.br> escreveu:
>>>>>>>
>>>>>>> Em 06/08/2015 11:05, Leandro Carlos Rodrigues escreveu:
>>>>>>>
>>>>>>>> Em 06/08/2015 11:00, Davi Peres escreveu:
>>>>>>>>
>>>>>>>>> continuo no aguardo para testes :)
>>>>>>>>>
>>>>>>>>>> Davi. pelo que eu entendi da explicação do Alex, basta você
>>>>>>>>>> incluir a
>>>>>>>>>>
>>>>>>>>> seguinte linha no seu arquivo main.cf:
>>>>>>>>>
>>>>>>>>>       check_policy_service inet:54.94.137.168:9877
>>>>>>>>>
>>>>>>>>> É a configuração mais simples que já vi na vida. :-)
>>>>>>>>>
>>>>>>>>> Só lembrando que só vai funcionar para o pessoal na qual eu liberei
>>>>>>>>> o
>>>>>>>>> IP
>>>>>>>>> no firewall do servidor 54.94.137.168.
>>>>>>>>>
>>>>>>>>> Pensando melhor eu vou deixar o firewall liberado por algumas horas.
>>>>>>>>>
>>>>>>>> Eu preciso receber alguma consulta qualquer de Postfix para ter
>>>>>>>> certeza
>>>>>>>> que a implementação foi bem sucedida.
>>>>>>>>
>>>>>>>> Se alguém da lista puder fazer isso, mesmo que por alguns segundos,
>>>>>>>> me
>>>>>>>> ajuda muito.
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> Se alguém quiser testar e não tiver me passado os IPs ou blocos,
>>>>>>>>
>>>>>>>>> precisa
>>>>>>>>> fazer isso.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Em 6 de agosto de 2015 10:54, Leandro Carlos Rodrigues <
>>>>>>>>>
>>>>>>>>>> leandro at allchemistry.com.br> escreveu:
>>>>>>>>>>
>>>>>>>>>> Em 06/08/2015 10:52, Alex Montoanelli escreveu:
>>>>>>>>>>
>>>>>>>>>> Leandro,
>>>>>>>>>>> Você precisa da entrada no master apenas se você irá criar e
>>>>>>>>>>>> instanciar o
>>>>>>>>>>>> socket.
>>>>>>>>>>>>
>>>>>>>>>>>> Como seu socket já esta criado em outro local, basta setar ele
>>>>>>>>>>>> no
>>>>>>>>>>>> main
>>>>>>>>>>>> cf.
>>>>>>>>>>>>
>>>>>>>>>>>> check_policy_service inet:MEU.IP:MINHA_PORTA
>>>>>>>>>>>>
>>>>>>>>>>>> Caramba. Mais fácil que eu imaginava.
>>>>>>>>>>>>
>>>>>>>>>>>> Vou passar a configuração para os colegas aqui que estão
>>>>>>>>>>> utilizando
>>>>>>>>>>> o
>>>>>>>>>>> Postfix e te dou um feedback.
>>>>>>>>>>>
>>>>>>>>>>> Valeu!
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> Abraço
>>>>>>>>>>>
>>>>>>>>>>> Em qui, 6 de ago de 2015 às 10:24, Leandro Carlos Rodrigues <
>>>>>>>>>>>> leandro at allchemistry.com.br> escreveu:
>>>>>>>>>>>>
>>>>>>>>>>>> Pessoal,
>>>>>>>>>>>>
>>>>>>>>>>>> Acabei de implementar a consulta direta do SPFBL pelo Postfix via
>>>>>>>>>>>>
>>>>>>>>>>>>> socket.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Alguém aqui da lista sabe como configurar adequadamente o
>>>>>>>>>>>>> Postfix
>>>>>>>>>>>>> para
>>>>>>>>>>>>> fazer o "Access Policy Delegation" direto pelo IP 54.94.137.168
>>>>>>>>>>>>> e
>>>>>>>>>>>>> porta
>>>>>>>>>>>>> 9877?
>>>>>>>>>>>>>
>>>>>>>>>>>>> Preciso de um exemplo para incluir na documentação. Eu dei uma
>>>>>>>>>>>>> olha na
>>>>>>>>>>>>> documentação do Postfix
>>>>>>>>>>>>>
>>>>>>>>>>>>> http://www.postfix.org/SMTPD_POLICY_README.html
>>>>>>>>>>>>>
>>>>>>>>>>>>> mas fiquei um pouco confuso quando eles mencionam o seguinte
>>>>>>>>>>>>> trecho da
>>>>>>>>>>>>> configuração completa:
>>>>>>>>>>>>>
>>>>>>>>>>>>>          /etc/postfix/master.cf <
>>>>>>>>>>>>> http://www.postfix.org/master.5.html>:
>>>>>>>>>>>>>              127.0.0.1:9998  inet  n       n       n -       0
>>>>>>>>>>>>>       spawn
>>>>>>>>>>>>>              user=nobody argv=/some/where/policy-server
>>>>>>>>>>>>>
>>>>>>>>>>>>> Não consegui entender bem esse "argv=/some/where/policy-server"
>>>>>>>>>>>>> porque,
>>>>>>>>>>>>> se é por socket, não deveria mencionar caminho de arquivo. Pode
>>>>>>>>>>>>> ser
>>>>>>>>>>>>> que
>>>>>>>>>>>>> não seja arquivo, então se alguém conseguir me explicar isso eu
>>>>>>>>>>>>> agradeço.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Se puderem escrever uma configuração que funcione com o IP e
>>>>>>>>>>>>> porta que
>>>>>>>>>>>>> mencionei, agradeço mais ainda.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Abraços,
>>>>>>>>>>>>>
>>>>>>>>>>>>> --
>>>>>>>>>>>>> Leandro Carlos Rodrigues
>>>>>>>>>>>>> TI All Chemistry do Brasil
>>>>>>>>>>>>> (11) 3014-7100
>>>>>>>>>>>>>
>>>>>>>>>>>>> __
>>>>>>>>>>>>> masoch-l list
>>>>>>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>>>>>>
>>>>>>>>>>>>> __
>>>>>>>>>>>>>
>>>>>>>>>>>>> masoch-l list
>>>>>>>>>>>>>
>>>>>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>>>>>
>>>>>>>>>>>> __
>>>>>>>>>>>>
>>>>>>>>>>>> masoch-l list
>>>>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>>>>
>>>>>>>>>>> __
>>>>>>>>>>>
>>>>>>>>>>> masoch-l list
>>>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>>>
>>>>>>>>>> __
>>>>>>>>>>
>>>>>>>>> masoch-l list
>>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>>
>>>>>>>>> __
>>>>>>>>>
>>>>>>>> masoch-l list
>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>
>>>>>>>> __
>>>>>>>>
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>>
>>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list