Postfix: zahazování „vlastní“ pošty od cizího odesilatele

[brk]

Potřeboval bych nakopnout, jak nastavit postfix, aby poštu, která se dle dresy tváří jako odeslaná z vlastního serveru, ale v praxi doručená odněkud z internetu s falešným odesilatelem, prostě zahazoval.

Potřebuji udělat polovičatě to, co jistě komplexněji řeší PSF, nebo raději DKIM. Na to se ale neptám. Na toto téma toho bylo napsáno dost i zde.

Díky.

[Reklama]

[McFly]

Smím se zeptat, proč není možné použít třeba právě SPF? Implementace je snadná. Jednoduše bych nastavil, aby pošta, co je odeslána z domény domena.cz, měla striktní nastavení - pokud není odeslána z MX serveru, jedná se o fake a ten je odmítnut, např. pomocí tohoto jednoduchého skriptu https://launchpad.net/postfix-policyd-spf-perl/ a návod zde  http://bazaar.launchpad.net/~kitterman/postfix-policyd-spf-perl/trunk/view/head:/INSTALL

Skript kontroluje SPF u všech příchozích e-mailů, tedy i tvé domény a fake e-maily odstřihne. (za předpokladu dobře nastaveného SPF záznamu)

[Mirek Prýmek]

Potřebuji udělat polovičatě to, co jistě komplexněji řeší PSF, nebo raději DKIM. Na to se ale neptám. Na toto téma toho bylo napsáno dost i zde.

Obávám se, že to žádným jednoduchým způsobem nejde.

Smím se zeptat, proč není možné použít třeba právě SPF?

SPF je zlo. Ještě že to nikdo nepoužívá, je to fakt radost vysvětlovat někomu, že fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.

[Filip Jirsák]

SPF je zlo. Ještě že to nikdo nepoužívá, je to fakt radost vysvětlovat někomu, že fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.

Tohle ale není problém SPF. Se SPF poštu přeposílat lze, a v uvedeném případě je chyba na straně firemního mailu.

[McFly]

SPF je zlo. Ještě že to nikdo nepoužívá, je to fakt radost vysvětlovat někomu, že fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.

Používáme SRS (http://www.openspf.org/SRS) k plné spokojenosti. Jednoduchá implementace je https://github.com/roehling/postsrsd

[Reklama]

[H0ax]

Potřebuji udělat polovičatě to, co jistě komplexněji řeší PSF, nebo raději DKIM. Na to se ale neptám. Na toto téma toho bylo napsáno dost i zde.

Obávám se, že to žádným jednoduchým způsobem nejde.

Smím se zeptat, proč není možné použít třeba právě SPF?

SPF je zlo. Ještě že to nikdo nepoužívá, je to fakt radost vysvětlovat někomu, že fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.

spf není zlo. nedovedu si představit, že mam dneska mailserver bez spf. Pokud váš server umožňuje přeposílání, je vaše zodpovědnost mít nasazené srs.

[j]

Udelat to lze, je to primitivni, SPF to resi lip ...

header_checks to resi.

/^(From|Return-Path):.*(@domena\.cz)\>/
        reject

samo je treba si tam dat ze od autorizovanych maily akceptujes.

Ad SPF, jestli si nekdo neumi preposlat mail ze svyho mailu, je to jeho problem ne muj. SPF mam nasazeny vsude.

[j]

... fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.

Pokud si nekdo preposila firemni maily na seznam, mel by mu majitel firmy zlamat vsechny hnaty a pribit ho za kule pro vystrahu na vrata.

[D.J.Bobo]

...jak nastavit postfix, aby poštu, která se dle dresy tváří jako odeslaná z vlastního serveru, ale v praxi doručená odněkud z internetu s falešným odesilatelem, prostě zahazoval.

Mrkni sem: http://www.postfix.org/BACKSCATTER_README.html

I přesto doporučuji nasadit SPF (záznam do DNS) a v Posfixu SPF brát jako hodnotu pro hodnocení SPAMu.

[MP]

SPF je zlo. Ještě že to nikdo nepoužívá, je to fakt radost vysvětlovat někomu, že fakt nejde přeposílat poštu z firemního mailu na seznamácký a že chyba není na naší straně.

Používáme SRS (http://www.openspf.org/SRS) k plné spokojenosti. Jednoduchá implementace je https://github.com/roehling/postsrsd

Neni nahodou vyzadovana SRS podpora na vsech forwarderech? Vyplyva to i z prikladu na tom openspf odkazu.

[McFly]

Neni nahodou vyzadovana SRS podpora na vsech forwarderech? Vyplyva to i z prikladu na tom openspf odkazu.

SPF funguje i bez SRS, ale hrozí riziko, že nebude korektně fungovat forwarding. Když už SPF, tak spolu se SRS.

[Mirek Prýmek]

Pokud si nekdo preposila firemni maily na seznam, mel by mu majitel firmy zlamat vsechny hnaty a pribit ho za kule pro vystrahu na vrata.

A když to chce majitel firmy?!

[hawran diskuse]

Pokud si nekdo preposila firemni maily na seznam, mel by mu majitel firmy zlamat vsechny hnaty a pribit ho za kule pro vystrahu na vrata.

A když to chce majitel firmy?!

Majitel by měl jít příkladem...
  

[Boban]

/etc/postfix/main.cf

Kód: [Vybrat]

smtpd_sender_restrictions =
    permit_mynetworks,
    check_sender_access hash:/etc/postfix/access,
/etc/postfix/access

Kód: [Vybrat]

user@domain.cz OK
domain.cz REJECT

[j]

Pokud si nekdo preposila firemni maily na seznam, mel by mu majitel firmy zlamat vsechny hnaty a pribit ho za kule pro vystrahu na vrata.

A když to chce majitel firmy?!

Tak ho tam ma pribit admin ... a udelat mu pripadne forward ze seznamu.