SRS a SPF

SRS a SPF
« kdy: 01. 06. 2020, 08:34:04 »
Ahoj,

chtěl bych nasadit SPF ale část uživatelú má udělané přesměrování mailů.
Máte někdo zprovozněné SRS? Polud jo, jaké máte zkušenosti? Co na to uživavatelé, nevadí jim že mají jako odesílatele sebe sama? Jak moc to rozhazuje filtry podle From?
Děkuji!


Re:SRS a SPF
« Odpověď #1 kdy: 01. 06. 2020, 09:21:43 »
SPF je v pořádku, to kontroluje obálkového odesílatele – není tedy důvod měnit hlavičku From v e-mailu.

McFly

  • ****
  • 373
    • Zobrazit profil
    • E-mail
Re:SRS a SPF
« Odpověď #2 kdy: 01. 06. 2020, 09:45:56 »
SRS jsme měli nasazeno na serveru nějaký čas. Jediný problém, co se vyskytl, byl ve SpamAssassinu, kde docházelo ke špatnému vyhodnocení. Pokud si pamatuju dobře, tak SA špatně vyhnotil test u pluginu FreeMail a možná i plugin SPF házel nesmysly (ale to si už nepamatuju, muselo by se to vyzkoušet). Jelikož jsme ve firmě ustoupili od možnosti přesměrování na externí adresy uživatelů, vypnul jsem i SRS.

Re:SRS a SPF
« Odpověď #3 kdy: 02. 06. 2020, 09:08:45 »
Filip Jirsák: Tato informace mne překvapila, všude jsem právě četl, ze SPF rozbíjí přeposílání a právě kvůli tomu se doporučuje nasadit SRS. Jste si jist, že je to tak jak píšete? Co ty desítky stránek a návodů na toto téma? K čemu je pak dobré SRS?
Děkuji za objasnění!

Re:SRS a SPF
« Odpověď #4 kdy: 02. 06. 2020, 12:14:08 »
Tato informace mne překvapila, všude jsem právě četl, ze SPF rozbíjí přeposílání a právě kvůli tomu se doporučuje nasadit SRS. Jste si jist, že je to tak jak píšete? Co ty desítky stránek a návodů na toto téma? K čemu je pak dobré SRS?
Asi jsem to napsal nejasně. SPF kontroluje obálkového odesílatele (tj. adresu uvedenou v MAIL FROM v SMTP komunikaci). Tj. nasazení SRS bude s SPF fungovat. Respektive přeposílat e-maily bez změny obálkového odesílatele (bez SRS) je vlastně špatně – obálkový odesílatel má být ten, kdo je za dané poslání e-mailu zodpovědný, což v případě přeposlaného e-mailu není původní odesílatel, ale ten, jehož jménem se e-mail přeposílá. To, co rozbíjí přeposílání, není SPF, ale nenasazené SRS. To, že se SRS dříve nepoužívalo a e-maily se přeposílaly s původním obálkovým odesílatelem je historický relikt, dříve se prostě moc neřešilo, jestli je obálkový odesílatel správný.

Tím, že se mění jen obálkový odesílatel, se to ale nijak nedotkne uživatelů – v hlavičce From v e-mailu stále uvidí tu původní adresu, filtry podle From se dál budou řídit původní adresou v e-mailu.

Problém jsou některé jiné antispamové techniky, než SPF, které svazují obálkového odesílatele s odesílatelem ve From, případně odesílatele ve From kontrolují špatně. Ty doopravdy rozbíjejí přeposílání.


Re:SRS a SPF
« Odpověď #5 kdy: 03. 06. 2020, 11:35:03 »
Tak to už si rozumíme:)
Jde právě ale o to, že kolega pracoval ve firmě kde to SRS měli a když si nastavil přeposílání, tak sice se mu email skutečného odesílatele nepřepsal, ale byla k němu v nějakém zvláštním firmátu přidána emailová adresa, z které se to přeposílalo spolu s vloženým stringem “srs”. To ale na “koncovém” serveru rozbíjelo filtry :(
Proto by mě zajímalo, jestli někdo má SRS v provozu a jaká je zkušenost.
Vy pane Jirsáku máte SRS nasazené?

Jak jste ješte psal o dalších technikách, které rozbíjejí přeposílání, mohl by jste být víc  konkrétní prosím?

Vilith

  • *****
  • 623
    • Zobrazit profil
Re:SRS a SPF
« Odpověď #6 kdy: 03. 06. 2020, 11:37:46 »

Vy pane Jirsáku máte SRS nasazené?


Pan Jirsák umí používat Google, číst dokumentaci, návody a široce o všem diskutovat

Re:SRS a SPF
« Odpověď #7 kdy: 03. 06. 2020, 12:46:02 »
email skutečného odesílatele nepřepsal, ale byla k němu v nějakém zvláštním firmátu přidána emailová adresa, z které se to přeposílalo spolu s vloženým stringem “srs”. To ale na “koncovém” serveru rozbíjelo filtry :(
Takže se přepisovala adresa odesílatele v e-mailu (hlavička From). Jak jsem psal, řešením tohoto problému je přepisovat jenom obálkového odesílatele, ne odesílateel v e-mailu (hlavičku From). Měnit hlavičku From je pro SPF zbytečné, SPF adresu odesílatele v e-mailu neřeší, řeší jen obálkového odesílatele. Samozřejmě se nedá vyloučit, že s tím někde nebude problém – správci poštovních serverů si dnes často stanovují svoje vlastní pravidla, a běda jak jim někdo nevyhoví.

Vy pane Jirsáku máte SRS nasazené?
Já v současné době naštěstí neprovozuju poštovní server.

Jak jste ješte psal o dalších technikách, které rozbíjejí přeposílání, mohl by jste být víc  konkrétní prosím?
Provozovatelé poštovních serverů pod záminkou boje proti spamu nastavují nejrůznější pravidla s odůvodněním, že „regulérní e-maily tohle splňují“. Porovnávají adresy odesílatele v obálce a v -emailu, porovnávají to se jménem, kterým se ohlásil poštovní klient, s doménou, na kterou směruje reverzní záznam k IP adrese, s MX záznamem pro doménu. Ty kontroly jsou víceméně náhodné a jediné spolehlivé řešení je být GMail nebo někdo jiný velký, kdo je na whitelistu takového provozovatele. U přeposílání máte tu výhodu, že množina cílových serverů je omezená, takže můžete zjistit, že je mezi nimi někdo problematický, a to pak řešit individuálně.

A to je přesně důvod, proč jsem rád, že už neprovozuju poštovní server. Protože můžete mít všechno správně a všechno podle standardů, a stejně e-mail někam nedoručíte, protože nevyhovíte pravidlům, která si sám stanovil správce cílového serveru.

alfi

  • ****
  • 277
    • Zobrazit profil
    • E-mail
Re:SRS a SPF
« Odpověď #8 kdy: 03. 06. 2020, 16:03:29 »
Já SRS mám a žádný problém nepozoruju, přepsaná je jen obálka a spamassasin tomu přidá nějaký bodík za HEADER_FROM_DIFFERENT_DOMAINS.
Úplně stejně SRS při přeposílání používá gmail nebo seznam, stačí vyzkoušet :-)

McFly

  • ****
  • 373
    • Zobrazit profil
    • E-mail
Re:SRS a SPF
« Odpověď #9 kdy: 04. 06. 2020, 17:36:36 »
Já SRS mám a žádný problém nepozoruju, přepsaná je jen obálka a spamassasin tomu přidá nějaký bodík za HEADER_FROM_DIFFERENT_DOMAINS.
Úplně stejně SRS při přeposílání používá gmail nebo seznam, stačí vyzkoušet :-)

Tak jsem si to opět na server nasadil a opravdu, nyní dostávám extra body jen za HEADER_FROM_DIFFERENT_DOMAINS a přeposílání a přepis funguje OK - používáš čistý SpamAssassin nebo ve spojení s Amavisem? Já nyní čistý SA, dříve ale s Amavisem, je to ale mnoho let. ;)

Re:SRS a SPF
« Odpověď #10 kdy: 05. 06. 2020, 08:37:37 »
Filip Jirsak: To rozumím, já myslel že mluvíte o DMARC, DKIM, ADSP.

Alfi, McFly: Děkuju za potvrzení, jaký balíček jste instalovali, kterým to SRS děláte? Způsobů jak to naimplementovat je víc, rád si nechám poradit.

Re:SRS a SPF
« Odpověď #11 kdy: 05. 06. 2020, 08:59:20 »
Filip Jirsak: To rozumím, já myslel že mluvíte o DMARC, DKIM, ADSP.

Alfi, McFly: Děkuju za potvrzení, jaký balíček jste instalovali, kterým to SRS děláte? Způsobů jak to naimplementovat je víc, rád si nechám poradit.

V minulosti jsem používal postsrsd, fungovalo to naprosto bez problémů. Protože mám iredmail, tak nyní využívám iRedADP, kam se v některé z minulých verzí přidala podpora SRS, také s tím neni žádný problém.

Vilith

  • *****
  • 623
    • Zobrazit profil
Re:SRS a SPF
« Odpověď #12 kdy: 05. 06. 2020, 09:14:28 »
Kdysi jsem nasazoval https://github.com/roehling/postsrsd - neznám aktuální stav projektu

Kód: [Vybrat]
# apt-get install postsrsd
# sed -i "s/^SRS_DOMAIN=.*/SRS_DOMAIN=`hostname -f`/" /etc/default/postsrsd
# service postsrsd stop
# service postsrsd start
# postconf -e "sender_canonical_maps = tcp:localhost:10001"
# postconf -e "sender_canonical_classes = envelope_sender"
# postconf -e "recipient_canonical_maps = tcp:localhost:10002"
# postconf -e "recipient_canonical_classes= envelope_recipient,header_recipient"
# postfix reload

McFly

  • ****
  • 373
    • Zobrazit profil
    • E-mail
Re:SRS a SPF
« Odpověď #13 kdy: 06. 06. 2020, 19:55:45 »
Tak tak, postsrsd.  ;)

Re:SRS a SPF
« Odpověď #14 kdy: 08. 06. 2020, 23:53:52 »
Děkuju všem, zdá se že to běhá dobře.