Fórum Root.cz
Hlavní témata => Server => Téma založeno: brk 19. 05. 2016, 16:04:52
-
Potřeboval bych nakopnout, jak nastavit postfix, aby poštu, která se dle dresy tváří jako odeslaná z vlastního serveru, ale v praxi doručená odněkud z internetu s falešným odesilatelem, prostě zahazoval.
Potřebuji udělat polovičatě to, co jistě komplexněji řeší PSF, nebo raději DKIM. Na to se ale neptám. Na toto téma toho bylo napsáno dost i zde.
Díky.
-
Smím se zeptat, proč není možné použít třeba právě SPF? Implementace je snadná. Jednoduše bych nastavil, aby pošta, co je odeslána z domény domena.cz, měla striktní nastavení - pokud není odeslána z MX serveru, jedná se o fake a ten je odmítnut, např. pomocí tohoto jednoduchého skriptu https://launchpad.net/postfix-policyd-spf-perl/ a návod zde http://bazaar.launchpad.net/~kitterman/postfix-policyd-spf-perl/trunk/view/head:/INSTALL
Skript kontroluje SPF u všech příchozích e-mailů, tedy i tvé domény a fake e-maily odstřihne. (za předpokladu dobře nastaveného SPF záznamu)
-
Potřebuji udělat polovičatě to, co jistě komplexněji řeší PSF, nebo raději DKIM. Na to se ale neptám. Na toto téma toho bylo napsáno dost i zde.
Obávám se, že to žádným jednoduchým způsobem nejde.
Smím se zeptat, proč není možné použít třeba právě SPF?
SPF je zlo. Ještě že to nikdo nepoužívá, je to fakt radost vysvětlovat někomu, že fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.
-
SPF je zlo. Ještě že to nikdo nepoužívá, je to fakt radost vysvětlovat někomu, že fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.
Tohle ale není problém SPF. Se SPF poštu přeposílat lze, a v uvedeném případě je chyba na straně firemního mailu.
-
SPF je zlo. Ještě že to nikdo nepoužívá, je to fakt radost vysvětlovat někomu, že fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.
Používáme SRS (http://www.openspf.org/SRS) k plné spokojenosti. Jednoduchá implementace je https://github.com/roehling/postsrsd
-
Potřebuji udělat polovičatě to, co jistě komplexněji řeší PSF, nebo raději DKIM. Na to se ale neptám. Na toto téma toho bylo napsáno dost i zde.
Obávám se, že to žádným jednoduchým způsobem nejde.
Smím se zeptat, proč není možné použít třeba právě SPF?
SPF je zlo. Ještě že to nikdo nepoužívá, je to fakt radost vysvětlovat někomu, že fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.
spf není zlo. nedovedu si představit, že mam dneska mailserver bez spf. Pokud váš server umožňuje přeposílání, je vaše zodpovědnost mít nasazené srs.
-
Udelat to lze, je to primitivni, SPF to resi lip ...
header_checks to resi.
/^(From|Return-Path):.*(@domena\.cz)\>/
reject
samo je treba si tam dat ze od autorizovanych maily akceptujes.
Ad SPF, jestli si nekdo neumi preposlat mail ze svyho mailu, je to jeho problem ne muj. SPF mam nasazeny vsude.
-
... fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.
Pokud si nekdo preposila firemni maily na seznam, mel by mu majitel firmy zlamat vsechny hnaty a pribit ho za kule pro vystrahu na vrata.
-
...jak nastavit postfix, aby poštu, která se dle dresy tváří jako odeslaná z vlastního serveru, ale v praxi doručená odněkud z internetu s falešným odesilatelem, prostě zahazoval.
Mrkni sem: http://www.postfix.org/BACKSCATTER_README.html (http://www.postfix.org/BACKSCATTER_README.html)
I přesto doporučuji nasadit SPF (záznam do DNS) a v Posfixu SPF brát jako hodnotu pro hodnocení SPAMu.
-
SPF je zlo. Ještě že to nikdo nepoužívá, je to fakt radost vysvětlovat někomu, že fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.
Používáme SRS (http://www.openspf.org/SRS) k plné spokojenosti. Jednoduchá implementace je https://github.com/roehling/postsrsd
Neni nahodou vyzadovana SRS podpora na vsech forwarderech? Vyplyva to i z prikladu na tom openspf odkazu.
-
Neni nahodou vyzadovana SRS podpora na vsech forwarderech? Vyplyva to i z prikladu na tom openspf odkazu.
SPF funguje i bez SRS, ale hrozí riziko, že nebude korektně fungovat forwarding. Když už SPF, tak spolu se SRS.
-
Pokud si nekdo preposila firemni maily na seznam, mel by mu majitel firmy zlamat vsechny hnaty a pribit ho za kule pro vystrahu na vrata.
A když to chce majitel firmy?! ;)
-
Pokud si nekdo preposila firemni maily na seznam, mel by mu majitel firmy zlamat vsechny hnaty a pribit ho za kule pro vystrahu na vrata.
A když to chce majitel firmy?! ;)
Majitel by měl jít příkladem...
;) ;)
-
/etc/postfix/main.cf
smtpd_sender_restrictions =
permit_mynetworks,
check_sender_access hash:/etc/postfix/access,
/etc/postfix/access
user@domain.cz OK
domain.cz REJECT
-
Pokud si nekdo preposila firemni maily na seznam, mel by mu majitel firmy zlamat vsechny hnaty a pribit ho za kule pro vystrahu na vrata.
A když to chce majitel firmy?! ;)
Tak ho tam ma pribit admin ... a udelat mu pripadne forward ze seznamu.
-
/etc/postfix/main.cf
smtpd_sender_restrictions =
permit_mynetworks,
check_sender_access hash:/etc/postfix/access,
/etc/postfix/access
user@domain.cz OK
domain.cz REJECT
...a pokud dám do obálky jiný From než do těla? To taky zakážeme? A když to bude zlobit pro mailinglisty, tak je budeme ručně whitelistovat?
Tohle nikam nevede. Prostě pokud není mail šifrovaný, nebo nemá DKIM, mohl ho poslat kdokoli odkudkoli, to je potřeba uživatelům vysvětlit a nesnažit se pomocí narovnáváků na ohýbáky řešit něco, co vyřešit nejde.