Parę słów o SPFie

Dzisiaj parę słów o SPFie. Czym to jest? najprościej rzecz ujmując definiuje z jakiego serwera poczty (dokładnie adresu IP) mogą być wysyłane maila dla danej domeny. Publikuje się te definicje we wpisie serwera DNS. W wielu miejscach jest opisane jak skonfigurować : strona Lemata o SPFie. specyfikacja wraz z przykładami. SPF ma kilka zalet , wadą rozwiązania jest forwarding zabija itd. Duża zaletą jest dośc prosta konfiguracja. Nie chce tu powtarzać wszystkich za i przeciw. Chciałbym omówić sprawę SPF w slużbie walki ze spamem (chociaż do tego wcale nie został stworzony).

Czy wdrażać SPF? Wg mnie jak najbardziej tak tylko od admina zależy czy zrobimy to na ‚miękko’ czy na ‚twardo’.

Publikujemy rekordy SPF

Tu nie ma wielkiej filozofi. My publikujemy rekordy odpowiednie SPF (nie zapomnijmy o wszystkich serwerach). I admini po drugiej stronie decydują czy używać tej metody do weryfikacji czy nie. Zakładamy, że wiedzą co robią i ja chcą to niech mają, My ze swojej strony udostępniamy dane.

Wdrażamy na swoich serwerach sprawdzanie SPF

Spamassassin sprawdza SPF jeśli odpalimy plugin SPF. W pliku /etc/spamassassin/init.pre

loadplugin Mail::SpamAssassin::Plugin::SPF

i od tego momentu możemy sprawdzać rekordy SPF. Wpis w DNS może zawierać dwie informacje: czy jeśli SPF się nie zgadza ubijać bezwzględnie (-all) czy jednak trochę oszczędzić (~all). Ale na szczęście my decydujemy czy działamy na twardo czy na miękko. W SA są 3 główny reguły dotyczące SPF

describe SPF_NEUTRAL        SPF: sender does not match SPF record (neutral)
describe SPF_FAIL           SPF: sender does not match SPF record (fail)
describe SPF_SOFTFAIL       SPF: sender does not match SPF record (softfail

Domyślna punktacja jest nastepująca

50_scores.cf:score SPF_FAIL 0 0.919 0 0.001 # n=0 n=2
50_scores.cf:score SPF_NEUTRAL 0 0.652 0 0.779 # n=0 n=2
50_scores.cf:score SPF_SOFTFAIL 0 0.972 0 0.665 # n=0 n=2

Tu są raczej ostrożne punktacje. Chcesz na twardo? Podbijamy tą punktację wysoko (można ale trzeba znać problemy które mogą wyniknąć). A jak chcemy na miękko możemy zrobić punktację następująco

SPF_FAIL     0.01
SPF_NEUTRAL  0.01
SPF_SOFTFAIL 0.01

Po co tak? A wtedy możemy mamy w SA zaznaczone czy SPF maila jest ok czy nie. I pisać reguły które sprawdzają pojedyncze domeny. Bardzo pomocna rzecz w walce z wysypem spoofingu wybranych adresów z domen poczta-polska, dhl,inpost itd. Te domeny nie będą forwardingować maili więc muszą zdać SPF.

Reguły wykorzystujące te metody pojawią się wkrótce.

A wszystkie pytanie, błędy najlepiej napisać w komentarzach. Niech inni tez maja:)

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *