[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Registros SPF para Virtual Hosting

Gorka escribió:

Buenas.

No conozco lo suficiente de Postfix como para crear los registros SPF que me
piden con seguridad (ya que estamos en producción). No me puedo permitir
hacer pruebas.

El caso es que mis correos no llegaban a algunos dominios de correo
determinados, y tras discutir bastante con mi ISP me han mandado el
siguiente email:

---------------

Actualmente los correos salen por la IP 2xx.xxx.xxx.xxx, en cambio su
registro RRMX informa que mail.miempresa.com usa la IP 8x.xxx.xxx.xxx; por
lo que no coincide el servidor de correo marcado a nivel DNS.

El PAT indica que está configurado por la 8x.xxx.xxx.xxx apuntando a la IP
10.0.0.5. Necesitamos se indique si tienen que coincidir los correos
salientes con los entrantes en la IP 8x.xxx.xxx.xxx  o bien si tienen que
continuar diferenciados como hasta ahora, en función de ello realizaremos la
configuración precisa a nivel DNS-NAT. 
En el caso de virtual hosting, al asumir su servidor correos de distintos
dominios sobre una misma IP, se deben crear una resolución inversa en la IP
de salida para cumplir criterios FCrDNS. Una vez se haya configurado NAT
estático o dinámico y para solventar los problemas que implica utilizar una
misma IP para varios dominios, se puede resolver creando un registro SPF
para cada uno de los dominios. Estos registros deben ser creados por Uds. y
después nos los remiten para informar a nuestro departamento de ISP de la
resolución inversa de los mismos. 
---------------

Efectivamente tengo virtual hosting (varios dominios en mi único servidor
postfix)
¿Podría alguien postear un ejemplo de cómo configurar estos registros SPF
pongamos para los dominios:
miempresa.com
micurro.es
mitrabajo.com?

(Tengo el servidor de correo configurado siguiendo las instrucciones para
Postfix + Dovecot del "ISPmail tutorial para Debian Etch" de Christoph Haas)

Muchísimas gracias.
Un saludo.







Tienes que diferenciar dos cosas:
1 - Por un lado tu declaras en tu dns un registro especial llamado SPF (es de tipo TXT en realidad) que dice qué servidores (número de ip) son los que envían correo a nombre de tu dominio. Cuando un correo llega a cualquier smtp y dice llegar de tu dominio (mail from: usuario@tudominio.com) si ese smtp hace comprobación spf, preguntará al dns el registro spf para "tudominio.com" y chequeará si el servidor desde donde le llegó el correo está listado en tu registro spf. Si está, no hay problema, lo aceptará y lo pasará luego por cualquier otro filtrado.
Si no está declarado en tu registro SPF pueden suceder más de una cosa, si en tu registro SPF tu lo declaraste restrictivo (con el flag "-a"), debería rechazarlo porque estarías indicando que los smtp de terceros solo acepten correo de "tudominio.com" que esté listado solo en el registo SPF. Tienes la opción de poner otros flags, que pueden indicar que quizás pueden llegar correos legítimos de tu correo desde servidores no listados en tu registro SPF. Ante lo cual lo más seguro es que el servidor de correo lo deje pasar pero le agregue algunos puntos negativos en su sistema antispam.
2 - Por otro lado, tienes que tener en cuenta que implementar SPF en el server DNS para tu dominio no es lo mismo que implementar SPF en tu Postfix. Este último caso significa que le aplicas un sistema de chequeo SPF a Postfix no solo para tu dominio sino para cualquier dominio desde el que le llegue correo.
Creo que en tu caso tu ISP te está pidiendo que le definas las ip de los servidores que enviarán correo para cada uno de tus dominios. 

Saludos
Reply to: