[MASOCH-L] O que você mais odeia no SPF?

Tue Jun 16 08:30:29 -03 2015

Pessoal. Quem gostou destas soluções, me ajudem a testá-las utilizando 
este script:

    https://github.com/leonamp/SmartToolsMX/blob/master/spfquery2.sh

Coloquei o serviço na AWS e deixei testando este script ontem no nosso 
servidor de e-mail. Parece que está bastante estável.

Prestem atenção pois são apenas dois parâmetros, sendo o primeiro o IP 
(v4 ou v6) de origem (não é o nome do host), e o segundo é o e-mail do 
remetente (ou return-path como preferir).

O script substitui o spfquery original pois retorna os códigos de saída 
exatamente igual.

A única solução que ainda não foi implementada é a de número 5. O 
restante foram todas implementadas.

Só peço que não coloquem uma carga muito alta por enquanto pois não sei 
se o servidor lá vai aguentar.

Me passem todos os bugs que encontrarem por favor. Obrigado.

Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100

On 15/06/2015 08:13, Leandro Carlos Rodrigues wrote:
> Segue as soluções que pretendo implementar, algumas já implementadas, 
> na minha implementação SPF.
>
> Se alguém tiver melhores soluções, vamos discutir para chegarmos em 
> algo que realmente será útil para todos.
>
>> 1. *Looping pelo mecanismo include:*
> Resolvido registrando cada include visitado e pulando os includes que 
> já foram visitados. Tecnicamente seria a poda da árvore: 
> http://pt.wikipedia.org/wiki/Poda_%28computa%C3%A7%C3%A3o%29
>> 2. *Várias consultas DNS para resolver uma consulta SPF:*
> Utilização de cache para manter a árvore em memória e atualização 
> periódica em background, para não comprometer a latência.
>> 3. *Too many DNS lookups:*
> Não tem esta limitação. A implementação vai carregar quantos nós 
> (include) forem necessários para encontrar aquele que dê match. O 
> cache vai minimizar a necessidade de consultas excessivas.
>> 4. *O domínio não ter registro SPF:*
> Solução best-guess: http://www.openspf.org/FAQ/Best_guess_record
>> 5. *Registro permissivo demais:*
> Para os mecanismos ip4 ou ip6, testar os IPs reservados de cada 
> versão. Se passar algum reservado, ignorar aquele mecanismo.
>> 6. *Erro de sintaxe no registro:*
> Uso de corretores, quando a correção for possível, e no caso de não 
> ser possível, ignorar o mecanismo com erro. No caso de algum mecanismo 
> estiver com erro, só apresentaria o erro caso nenhum outro mecanismo, 
> com exceção do all, desse match. Se o administrador errou um mecanismo 
> pouco importante mas manteve integro os demais, então a consulta vai 
> funcionar para maioria dos casos.
>> 7.*domínios com acl terminando em +all*
> Não permitir o mecanismo +all. Vamos banir o +all. Considerar sempre 
> SOFTFAIL quando usarem +all.
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l