Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > SPF záznamy a forwarding
leden 09
SPF záznamy a forwarding

Tak to je nepěkná vlastnost. Věděli jste, že SPF záznamy, pokud používáte FAIL, tak neplatí pro přeposlané maily? Já jsem měl svůj SPF záznam ve znění:

v=spf1 mx -all

což znamená, že moje maily mohou odcházet pouze z adresy mého MX SMTP serveru/záznamu. Dobře. Jenže co když tento můj mail někdo po cestě jenom přepošle - tedy klidně jen nějaký jiný SMTP server to přeposílá někam dále - prostě si někdo nastaví forward.

Tak bohužel. Příjemcův SMTP server kontroluje jenom bezprostřední odesílatelovu IP adresu. Kterou vcelku přirozeně nemůžu mít ve svém SPF záznamu. Takových přeposílatelů může být milión. Pěkně je to popsáno na wikipedii ze které cituji:

FAIL and forwarding
SPF does not allow plain message forwarding. When a domain publishes an SPF FAIL policy, legitimate messages sent to receivers forwarding their mail to third parties may be rejected and/or bounced if all of the following occur:
  1. The forwarder does not rewrite the Return-Path, unlike mailing lists.
  2. The next hop does not white list the forwarder. 
  3. This hop checks SPF.
This is a necessary and obvious feature of SPF – checks behind the "border" MTA (MX) of the receiver cannot work directly.
Publishers of SPF FAIL policies must accept this potential problem. They should test (e.g., with a SOFTFAIL policy) until they are satisfied with the results. See below for a list of alternatives to plain message forwarding. 

Řešení

Ach jo. Nějak jsem myslel, že by to mohlo kontrolovat celou cestu toho mailu. A ne jen posledního odesílatele.

Takže přecházím na SOFTFAIL:

v=spf1 mx ~all

Poděkování

A musím teda ještě jednou poděkovat za neuvěřitelně kvalitní podporu na seznam.cz. Normálně jsem se přihlásil na jejich online čet. Trvalo 30sec. než se mě ozvala nějaká ženská. Napsal jsem problém a dostal kvalifikovanou odpověď za další 2 minuty. Tak to je žrádlo.

Když se to srovná třeba s těmi 14 dny co jsou běžné u velkých firem (nebudeme jmenovat), po nichž se vám ozve nějaký ind, co zvládá maximálně myšování, klávesnicování a klikání :-)

Comments

jo jo

Jo jo, před rokem jsem ze stejnýho důvodu SPF na naší doméně upravil stejným způsobem. Tak to prostě je. Generátory SPF záznamů by na to měly upozorňovat. Některý tu vlnovku navrhnou automaticky, některý ne
Borek on 9.1.2013 21:58

Díky

Díky za tip. Hned jsem to použil a vyměnil na všech našich doménách - používal jsem pomlčku.
Radim on 23.1.2013 9:38

No, nevím

já myslím, že softfail je "pro kočku".
To už je "skoro" totéž, jako nemít SPF vůbec.
Tomáš on 13.3.2013 9:35

No, nevím

já myslím, že softfail je "pro kočku".
To už je "skoro" totéž, jako nemít SPF vůbec.
Tomáš on 13.3.2013 9:45

Re: SPF záznamy a forwarding

100% souhlas. nechápu úplně přesně, proč to je takhle stupidně vymyšleno. přeposílka je přece něco normálního. ono to je asi proto, by byly různé otázky ohledně privátních IP adres, ale stejně se mi to nezdá, že by to mělo vadit.
ondass on 13.3.2013 10:34

Re: SPF záznamy a forwarding

Je doporučeno SPF zkombinovat s podepisováním všech odchozích mailů pomocí DKIM. Dokonce Seznam od loňska vyžaduje DKIM u všech příchozích hromadných mailů, jinak je rovnou filtruje! A nakonec si v DNS zavést politiku DMARC, v které se řekne, že má být email považován za platný tehdy, pokud odpovídá SPF a NEBO má platný DKIM podpis. Tak a je to. Jo a samozřejmě všechny příchozí i odchozí maily šifrovat TLS.
Borek Straka on 28.4.2016 13:15

Re: SPF záznamy a forwarding

Jo a na DKIM podpisy se dá použít třeba opensource https://github.com/Pro/dkim-exchange.
Borek on 28.4.2016 13:23

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments