Názory k článku SPF: proti spamu i přeposílání pošty

Typickej problém s maily pracovního úřadu a přeposíláním na seznam.cz.

Ano, používám SPF (-all) i Caller-ID.

Nemam rad SRS a nastaveni SPF u Seznam(u) ;)

Dekuji za pekny clanek,
ale v mem pripade prisel s krizkem po funuse, problemem spf a odmitani posty jsem se musel zabyvat pred par mesici, kdy mi zpivali nekteri zakaznici ze se jim nedorucuji emaily.
V ukazce je pekne pouziti rozsahu z ipv4, zde jsem take narazil, nastavil sem politiku ze odesilat smi jen MX servery. Ovsem uz mi nedoslo ze nektere z domen nemaji AAAA zaznam. A ve chvily kdy postfix pouzil ipv6 jsme meli zas problemy.
No bylo to par probdelych noci nad logem kdo nas vse odmita a proc.

https://github.com/andrenth/srsly

je potřeba použít release přímo od autora:
$ git clone https://github.com/andrenth/release/
$ cd release
$ git checkout -b 687173cf3
$ git reset --hard 687173cf3b184­b5204278aab9d87c0bb0d­7fa26e
$ ocaml setup.ml -configure
$ ocaml setup.ml -build
$ ocaml setup.ml -install

SPF nahozeno uz peknych par let, zaznamenany jednotky pripadu kdy se mail vratil s tim, ze je kvuli SPF nedorucitelny (pri preposilani). 99% z nich od seznamu.

Jak bylo zmineno, za fungujici forward je zodpovedny ten, kdo ho pouziva. Ostatne, cely system mailu je koncipovan presne stejne - kazdy si MTA muze nastavit jak chce.

No, ale vysvetlete to BFU! A zvlast, pokud mate mezinarodni projekty pod svym MX...Tvrde odmitani je nemozne nasadit.

To by me zajimalo, kterymu BFU budu milejsi desitky tisic spamu, vs sem tam nedoruceny "korektni" mail. Nehlede na to, ze mail neni garantovana sluzba a funguje PRESNE stejne jako vhozeni dopisu do schranky. Tedy vetsinou prijde, ale nemusi.

Kazdy BFU je zakaznik, ktereho slova o negarantovanosti sluzby nezajimaji. A ve chvili, kdy jde o penize, jsou problemy se ztratami mailu kvuli SPF jeste vetsi pruser, nez nejaky ten spam.

Jiste, ridice taky nezajimaj nejaky ty znacky kolem silnic, proc by si prave ted nemoh jet svych 200, ze ... sak je to BFU tak ho to nezajima.

Ve chvili kdy jde o penize se nepouziva mail. Pripadne se pouziva tak, aby jeho neduhy byly eliminovany. A ted sem muzes zacit psat pohadky na tema ze mi treba bude psat mailem novy uzasny zakaznik, ktery mi chce udelat kset za desitky mega a prave ten jeho mail mi nedorazi ... lol.

Milej zlatej, kdyz se spamem bude kazdej zamestnanec prehrabovat 1/2 hodiny denne (a to se bude prehrabovat dyl), tak to firmu pri 100 lidech stoji +- 300 000 kazdej mesic. TO jsou PENIZE, ktery majitele zajimaj. Nejakej mail kterej nedorazil nikoho nedojme. Mail totiz nemusi dorazit asi tak z miliardy duvodu a spf v tom hraje roli 0,000prd.

Paradni ochranny system, ktery haze klacky pod nohy normalnimu pouzivani emailu. Skvely pocin. Vzdy, kdyz sem se s tim potkal, tak me to akorat nakrklo.

Mám ze SPF velmi podobný pocit. Standard, který přináší spoustu problémů (rozbil veškeré forwardování pošty na světě a jeho autoři si naivně myslí, že se celý svět přizpůsobí) a vůbec nic neřeší. Spamu neubylo, ani se snáz nedetekuje. A pokud se někdo chce chránit před podvodnými maily odesílanými jeho jménem, může daleko účinněji použít PGP nebo S/MIME.

Pise nekdo, kdo netusi o cem ... SPF resi, ze MTA mail VUBEC NEPRIJME, a tudiz ho nemusi ukladat na disk, nemusi na nem provadet zadne anti(spam/vir/...) kontroly.

To kdo ten mal poslal nikoho nezajima. Ale kazdyho zajima jak zredukovat miliony spamu ktery se zbytecne zpracovavaj.

To je vsechno alibismus.

To, ze mail neni garantovana sluzba neznamena, ze se na nej lide nespolehaji. Muzeme o tom debatovat, muzeme se o to prit, ale to je tak vsechno, co s tim muzememe delat.

A ja rozhodne radeji budu filtrovat spam treba v TB s tim, ze budu mit dostupne vsechny maily, nez o nejake maily prijit.

Preposilani mailu funguje snad 30 let a nevidim duvod, proc by nekdo mel vymyslet system, ktery nas ochrani pred spamem, ale zaroven de facto zrusi 30 let zavedenou vec.

Sice sme vas ochranili pred 100 spamu denne, ale ty 3 emaily, ktere vam poslali z jinych firem ohledne novych zakazek vam nedosli, protoze SPF. Toto mi rict ITak, tak s nim vyrazim zavrene dvere.

Jasne, typicky kecy od nekoho, kdo nema paru o cem zvani. Nahod sem mail, ja ti tam vsechny ty blokly sracky forwardnu. Bude toho tak 15 - 30k ks/den.

Ano, SPF používáme jako součást DMARC spolu s DKIM. V odchozím směru politika s koncovým ~all u SPF. Tahle kombinace u těch, co to používají, funguje víc než dobře. Pokud dojde k forwardu mailu, tak nesouhlasí SPF, ale sedí to DKIM. Situací, kde se forwardem rozbije i DKIM je hodně málo.
V přichozím směru se uplatňováno taktéž DMARC, pokud odesílající má i SPF, tak při souhlasu se pouští rovnou (ignorují se věci jako +all), pokud SPF nesedí nebo není, je uplatněn greylisting.
Jen samotné a holé SPF bych asi už nedával (bez kombinace s DKIM/DMARC).

Zasadni problem SPF je v tom, ze pro korektni fungovani preposilani mailu tento standard vyzaduje nasazeni SRS na _vsech_ mailserverech, ktere nekdy forwarduji email (bez ohledu na to jestli oni sami SPF pouzivaji). Priblizne zacatkem roku 2011 jsem detekoval vcelu nestastne nastaveni seznam.cz, ktery zacal odmitat forwardovane maily s "fail" politikou odesilatele a vzhledem k tomu, ze v te dobe nebylo nic po ruce tak jsem si napsal vlastni https://github.com/vokac/srs-milter.

Ruzne mailservery provadi forward mailu ruzne - nektere prepisuji mail envelope, kde jako odesilatele uvedou lokalni adresu uzivatele pro nejz je mail preposilan (treba Exchange pri existenci schranky a uzivatelske konfiguraci preposilacich pravidel) a v takovem pripade SPF nezpusobuje problemy (na druhou stranu se to takhle nebude uplne korektne chovat v pripade "mail delivery failure" na cilovem serveru). Pri klasickem forwardu se mail envelope neprepisuje (napr. pri pouziti Exchange a mailoveho uctu bez schranky s forwardem pres "targetAddress" v AD) a v takovem pripade je potreba zprovoznit SRS.

Jinak sveho casu jsem cetl, ze napr. gmail neprijimal maily prichazejici z IPv6 adres, jejichz odesilatel nepouzival bud SPF nebo DKIM, takze asi neni na skodu zauvazovat nad nasazenim jedne z techto technologii (osobne se mi o trosku vic zamlouva DKIM, i kdyz jeho pouziti take nemusi byt uplne bez vedlejsich efektu).

Osobne SPF nepouzivam, prijde mi jako spatna volba, viz. rozbiji preposilani a pridava praci jinde.

Pouzivam DKIM, ktery nerobiji preposilani.

Nekteri v diskuzi zminovali ze pouzivaji SPF + DKIM. Rad bych vedel proc. Muze te mi nekdo objasnit proc chtit pouzit SPF kdyz mam funckni DKIM (a pripadne i DMARC record)?

Na problem s konferencema jsem nenarazil, dobre vedet.
Jestli si pamatuji dobre tak v DMARC neni vyslovene volba, ktera by specifikovala, ze pouzivam jenom DKIM a nejak jsem si z toho vzal ze to pocita s obema. Ale ze defaultne pokud nepozivam SPF tak to nereportuje a hlasi jen problem u DKIM - a tak jsem SPF nepouzil ponevadz mi DKIM prijde dostatecny.
Ale moc jsem se v tom nestoural :-)

Diky vsem za info ...

Problém s DKIM a konferencema je, pokud konferenční server dělá nějaké změny v mailu, což obvykle dělá. Takže jakmile tam narve do mailu třeba patičku, že mail je z "konference X s archívem na adrese Y", tak přestane souhlasit hash těla zprávy a pak je na koncovém příjemci, jak se s tím popere (stejný problém dělá konference i v případě, že mail je poslán s S/MIME digitálním podpisem). Pokud konfereční server dělá jen prostý mail aliasing, nemění subjekt/tělo, maximálně si přidá nějaké X-...: hlavičky, tak se DKIM nerozbije.

DMARC postupuje při ověřování (RFC7489):
"Receivers compare the RFC5322.From address in the mail to the SPF and DKIM results, if present, and the DMARC policy in DNS."
Takže se snaží použít oboje, pokud jedno není, označí si ho jako none a vyhodnocuje jen na základě toho druhého...

To dava smysl ... to ze DKIM je podobny princip jak S/MIME jsem si neuvedomil.

Osobne zustanu u DKIM (+DMARC) ponevadz v mem pripade je vetsi sance ze si nekdo email preposle a robije SPF nez ze bude zasahovat do vlastniho emailu.

> Jinak DKIM sice nerozbíjí přeposílání, ale zase celkem dobře rozbíjí e-mailové konference :)

> Jinak DKIM sice nerozbíjí přeposílání, ale zase celkem dobře rozbíjí e-mailové konference :)

Do dela zhruba v trech pripadech:

1) Konference pridava paticku do tela mailu

2) Konferencni adresa se vklada do Reply-to hlavicky

3) Konference pridava svuj tag do Subject hlavicky

Prvni pripad je hloupost, ktera mela uz davno vymizet. Narusuje i jine metody digitalniho podpisu, proto konferencni software je na to cast pripraven a v takovem pripade paticku nevklada.

Druhy pripad je rozporuplna zalezitost, ktera mela mnoho oponentu jiz dlouho pred DKIM, i kdyz pragmaticky prepisovani Reply-to casto smysl dava, zejmena pro soukrome konference.

Treti pripad je drobnost, ktera se da nahradit List-* hlavickama. Ackoliv osobne preferuju filtrovani podle tagu (nebot se tak do slozky s konferenci dostanou i soukrome odpovedi na mail z konference), tesknit po nich nebudu.

Takze celkem vzato DKIM sice muze rozbit e-mailove konference, ale neni problem je nastavit tak, aby s DKIM fungovaly korektne. Oproti tomu SPF je broken by design.

DKIM ma i sekundardni pozitivni dopad - v zasade je to digitalni razitko treti strany, ze obdrzela a preposlala e-mail od nekoho, koho typicky autorizovala. Zajistuje tedy urcitou miru duveryhodnosti a nepopiratelnosti u e-mailu, a to v mire rozsireni, ktere klasicky digitalni podpis e-mailu za 20 let zdaleka nedosahl.

Protože DMARC je zamýšlen jako kombinace SPF a DKIM. Zkrátka ideálně má souhlasit oboje při kontrole, ale stačí když souhlasí jen jedno.
Jinak, že se DKIM při přeposílání nerozbíjí, tak to není úplně pravda. Dle pozorování a sttistik, co vrací DMARC, tak někteří přeposílači DKIM dokáží rozbít také. :-(

Samotné DKIM nic neříká o tom, zda je to OK, maximálně při použití ADSP záznamu mohu říci, že veškerá pošta měla by/musí být podepsána. Bohužel je ADSP využíváno zcela minimálně.

DMARC má smysl v tom, že ho dneska aplikuje řada velkých mailových hráčů (Gmail, Yahoo, Hotmail, ....), kteří jsou i jeho autorem. Další plus u DMARC je, že si můžu publikvoat záznam říkající, že přijímající servery mi mají posílat statisityky o tom, jak si vedou maily z mé domény - takže dostane přehled, kolik mauiů k nim došlo, odkud došly, zda souhlasily SPF a DKIM a jak s nima cílový server naložil.

> Nekteri v diskuzi zminovali ze pouzivaji SPF + DKIM. Rad bych vedel proc.

Já už jsem zoufalý z toho že na druhé straně padám do spamu a každá z těchto technik většinou odečte pár bodů. Jinak bych to nepoužíval.

V případě Google Apps na vlastní doméně to je na pár kliknutí v managementu, kdy vygeneruje DKIM klíče specifické pro danou doménu a bude s něma korektně podpisovat jako d=example.com místo d=google.com.
Ale pokud je otázka obecná, jak pověřit jinou doménu jako věrohodného podepisovatele na úrovni ADSP, tak ano, jde to. Jmenuje se to ATPS rozšíření pro DKIM. Stačí do domény example.com doplnit:

_adsp._domain­key.example.com IN TXT "dkim=all; atps=ys; asl=google.com;"
XLVJKS4VOMOGRLTO­IW6R4JJOWRLAZ­XCF._atps.exam­ple.com IN TXT "v=atps01; d=google.com;"

a bude to znamenat, že za example.com se autoritativně podepisuje google.com.
Nicméně Authorized Third-Party Signatures (ATPS) jRFC6541 je stále ve stavu experimental, takže se na to nedá plně spoléhat, že to všechny DKIM validátory budou umět (řada to podporuje).

Ano, můžu definovat větší počet domén, které mohou podepisovat za example.com.
Uvedený příklad automaticky znamená, že můlže podepisovat example.com sám sebe a/nebo to může podepisovat i google.com (případně idalší definovaný jako _atps DNS záznam).
U toho ADSP záznamu se jen patřičně rozšíří to asl=google.com,x­.cz,y,cz. a patřičně přidají i ty jednotlivé _atps DNS záznamy pro každou doménu.
Dále, pokud se používá i DMARC, tak v DMARC DNS záznamu se také definuje, že pro DKIM připouští ty ATPS záznamy pomocí volby "atps=y" a můžu i vyjmenovat zde, které domén se připouští pomocí "asl=google.com,x­.cz,y,cz". V doméně example.com musí samozřejmě existovat i ty jednotlivé _atsp DNS záznamy.
Zde je pěkný online generátor ADSP i DMARC záznamu s podporou pro to ATPS:
http://www.winserver.com/public/wcadsp/default.wct
http://winserver.com/public/wcdmarc/default.wct

SPF je skvělá věc a používám již cca 2 roky. Zbavilo mě to velké čísti emailů s podvrženou adresou odesílatele. Těch pár exotů které mají tak blbě nastaveno přeposílání (typicky na seznam email) nemá cenu řešit.

"každý by měl používat SMTP poskytovatele, kam je připojený"

To je podle mne mýtus. Freemail mne "ověřil". Odesílám emaily z jeho webového rozhraní a navíc mi poskytuje API (standardizované: SMTP + IMAP), do kterého se _přihlásím_ a on to pak odešle prakticky stejně jako z toho webového rozhraní. Já happy user, neboť mejl z mého MUC je (ne)zahozen stejně (konzistentně) s tím, jako bych ho posílal z webového rozhraní. V ideálním světě pak freemail aplikuje "stejný" antispam na ověřeném SMTP jako na svém webovém rozhraní. Další výhodou je, že odmítnutý email se má prakticky vždy kam vrátit, pokud odesílající SMTP server spravuje ten samý subjekt, jako mojí schránku. (Navíc lze aplikovat back-scatter filtering.)

V mém případě to došlo tak daleko, že sice nepoužívám freemail, ale máme s kamarády server, takže si ze svého NB SMTP spojení z MUC tuneluju pomocí ssh (ověřování SSH věřím výrazně víc (umím líp nastavit), než ověřování SMTP) na SMTP server.

Používám kratší dobu SPF(~all), DKIM i DMARC(obojí relaxed). Ale je fakt, že o to víc sleduju delivery reporty, nicméně zatím bez nějakých problémů. Používám poste.io