Re: postfix + spf

To: debian-russian@lists.debian.org
Subject: Re: postfix + spf
From: Alexey Lobanov <A.Lobanov@cro-rct.ru>
Date: Tue, 04 Jul 2006 18:19:06 +0400
Message-id: <[🔎] 44AA78DA.9010909@cro-rct.ru>
Reply-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 41ef27e40607032327t947f27k44af85c89a7e9f26@mail.gmail.com>
References: <[🔎] 20060704095740.C24242@sova.net.ru> <[🔎] 41ef27e40607032327t947f27k44af85c89a7e9f26@mail.gmail.com>

Hi all.

On 04/07/06 10:27, Konstantin Matyukhin wrote:

On 7/4/06, *Ilya S. Sapytsky* <dr@dr.s.sova.net.ru<mailto:dr@dr.s.sova.net.ru>> wrote:


    Добрый день!
    решил посмотреть в сторону SPF. Идея хорошая, все
    прекрасно, но вот пока не совсем понял как это
    прикручивается к postfix в debian.
    Сейчас на этой машине работает postfix+postgrey.
    У кого нибудь это уже работает? РАсскажите плиз как
    сделали...


Примерно так:

policy    unix  -       n       n       -       -       spawn
      user=nobody argv=/usr/bin/perl /usr/local/postfix/libexec/spf.pl

smtpd_recipient_restrictions =
 reject_non_fqdn_recipient,
 reject_non_fqdn_sender,
 reject_authenticated_sender_login_mismatch
 reject_unknown_sender_domain
 permit_mynetworks
 permit_sasl_authenticated
 check_recipient_access hash:/etc/postfix/recipmap
 reject_non_fqdn_hostname
 check_helo_access hash:/etc/postfix/helomap
 check_sender_access hash:/etc/postfix/addrmap
 reject_unauth_destination
 reject_unlisted_recipient
 check_client_access hash:/etc/postfix/netmap
 reject_rbl_client sbl.spamhaus.org
 reject_rbl_client zombie.dnsbl.sorbs.net
 reject_rhsbl_sender bogusmx.rfc-ignorant.org
 reject_rhsbl_sender rhsbl.sorbs.net
 check_policy_service unix:private/policy
 reject_rbl_client dul.ru
 reject_rbl_client dialups.visi.com
 reject_rbl_client dul.dnsbl.sorbs.net
 reject_rbl_client list.dsbl.org
 reject_rbl_client cbl.abuseat.org
 check_recipient_access hash:/etc/postfix/access

SPF на данном этапе практически бесполезен и, боюсь, так и не
доживет до хотя бы 70% эффективности.


aal@mail:~$ grep reject: /var/log/mail.log.0|wc -l
515

aal@mail:~$ grep reject: /var/log/mail.log.0|grep spf|wc -l
54

Итого, примерно 10% эффективности. Тоже деньги.

Хинт: "~all" имеет смысл интерпретировать как "-all". Если хозяин доменапотрудился явным образом прописать "легитимные" хосты отправки, то всепрочие источники можно с большой уверенностью считать не сомнительными,а просто нехорошими.

В том SPF-engine, который используется в Постфиксе, эта настройкаделается редактированием spf.pl:


  if    ($result eq "pass")  { return "OK"; }

elsif ($result eq "fail") { return "REJECT " . ($smtp_comment ||$header_comm

ent); }

elsif ($result eq "error") { return "450 temporary failure:$smtp_comment"; }elsif ($result eq "softfail") { return "550 SPF restriction:$smtp_comment"; }

  else                       { return "DUNNO"; }

К тому времени скорее всегостанут более
популярными современные почтовые протоколы на основе, например, IM / XMPP.


Ну, нам-то сейчас надо жить.

А.Л.

Reply to:

Follow-Ups:
- Re: postfix + spf
  - From: "Konstantin Matyukhin" <kmatyukhin@gmail.com>
- Re: postfix + spf
  - From: "Ilya S. Sapytsky" <dr@dr.s.sova.net.ru>

References:
- postfix + spf
  - From: "Ilya S. Sapytsky" <dr@dr.s.sova.net.ru>
- Re: postfix + spf
  - From: "Konstantin Matyukhin" <kmatyukhin@gmail.com>

Prev by Date: Re: Спящие ментейнеры
Next by Date: Re: Система на USB flash
Previous by thread: Re: postfix + spf
Next by thread: Re: postfix + spf
Index(es):
- Date
- Thread