Date: Sat, 18 Nov 2006 02:16:40 +0100 From: Robert Martin-Legène <none@robert+bsd-dk--martin-legene.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Spam problem ifb. m. falsk 'Return-Path' (Sendmail MTA)
On Sat, Nov 18, 2006 at 01:24:46AM +0100, Lasse Hillere Petersen wrote:
> Den ansvarlige for et domæne kan man kun forsøge at finde gennem whois,
> mig bekendt.
Erfaring har lært mig at SOA for dns-zonen er som regel mere effektivt
end postmaster. Mest fordi folk glemmer at oprette postmaster som alias,
men de kan godt finde ud af at skrive deres egen/noc-adresse i en
zonefil.
> Der har været en diskussion på netbsd-users for nogle dage siden, hvor
> bl.a. Steve Bellovin har givet udtryk for at der er problematiske aspekter i
> den måde hvorpå SPF er implementeret.
>
> http://mail-index.netbsd.org/netbsd-users/2006/11/14/0011.html
Nu læste jeg ikke hele tråden, men SPF løser sin opgave med at
"forhindre" folk i at sende post som kommende fra dit domæne. At Steve
Bellovin [SMB] tror SPF er en anti-spam-mekanisme vil jeg påstå er en
misforståelse fra hans side. Men det er måske taget ud af kontekst, da
jeg ikke så hvad han svarede på. SPF har problemer, men jeg mener ikke
det er dem som SMB nævner.
Jeg vil desuden opfordre folk som har energi og lyst til at gøre noget
ved spam til at melde sig til de steder hvor man tænker over den slags i
grupper. Umiddelbart kan jeg komme i tanke om
* Internet Research Task Force's (www.irtf.org) Anti Spam Research Group
(ASRG).
* Internet Engineering Task Force's (www.ietf.org) Domain Keys
Identified Mail (www.dkim.org og
http://www.ietf.org/html.charters/dkim-charter.html)
* RIPE's Anti Spam Working Group (http://www.ripe.net/ripe/wg/anti-spam/)
Alle listerne velkommer nye medlemmer, men hvor aktive og nyttige de
individuelle er, kan jeg ikke sige. Men gratis de er.
> Det er der jo godt nok noget der tyder på. Altså at det at _jeg_
> har en SPF record ikke giver problemer for mig.
Jeg vil generelt sige at hvis du skaber problemer for dig selv med SPF,
opvejer de i mine øjne de problemer du ikke slipper af med ved ikke at
oprette SPF-records (gav det mening?) :) Altså - SPF er umagen værd
selvom det ikke er perfekt.
For mit eget vedkommende, bruger jeg desuden "-all" til sidst [1] i
stedet for "~all" [2], og har stort set ikke haft nogen gener ved det.
> En mail fra foo@bar.com til bror@mit-dom.dk (Postfix virtual på min
> server) forwardes altså til bror@hans-isp.dk
>
> Er det så en SPF for bar.com, mit-dom.dk, eller hans-isp.dk der vil give
> anledning til problemer? Er problemet der kun, hvis hans-isp.dk bruger
> SPF til spamfiltrering, og mit.dk ikke er en legal mailsender for bar.com,
> iflg bar.com's SPF record?
SPF sammenligner afsenderen (return-path) med "sidste SMTP-hop". Derfor
vil SPF-records for bar.com blive checket når du sender posten videre
til hans-isp.com. Jeg har et lignende setup som dig, for mig bror. Da
jeg bruger procmail for ham (primært pga spamassassin), så afsluttes
hans .procmailrc simpelthen med:
:0
|/usr/sbin/sendmail -oi -oem -fpostmaster+brormand brormand@hans-isp.com
Dette gør at hans-isp.com nu checker SPF for @martin-legene.dk i stedet
for bar.com. I stedet checker _jeg_ så SPF for bar.com når posten kommer
ind. Det er desuden den anbefale måde [3].
Bemærk her at jeg sætter afsenderen til en anden adresse end brormands.
Det lærte jeg, da jeg ganske hurtigt fik en uendelig lykke af bounces
fra ham selv til ham selv (pga nogle problemer hos hans-isp.com).
Postmaster+brormand går jo til postmaster, og med +brormand kan jeg som
postmaster nemt se om en mail til postmaster skyldes brormand.
[1] RFC4408 afsnit 2.3.
[2] RFC4408 afsnit 2.5.5.
[3] RFC4408 afsnit 9.3 underafsnit 2.1.
-- Robert Martin-Legene
This archive was generated by hypermail 2b30 : Thu 30 Nov 2006 - 23:00:03 CET