SOCL.cz
blog nejen o Internetu

Postfix: SPF a přeposílání pošty? Postsrsd!

publikováno 1. 3. 2015 v 14:09

Jedna z ochran proti podvržení odesílatele pošty v e-mailu je SPF - Sender Policy Framework. Jednoduše tak říkáte, z jakých IP adres (serverů) je možné odesílat e-maily z vaší domény. Aby SPF k něčemu bylo, musí přijímající strana provádět kontrolu a vyhodnocení příslušného SPF záznamu (umí to například Spamassassin nebo tento perlovský skript pro Postfix). SPF funguje, ale můžete se u něj setkat s jedním nepříjemným problémem - občas nemusí fungovat přeposílání (forwarding) pošty. Řešením je SRS - Sender Rewrite Scheme, přesněji implementace Postsrsd.

SPF Logo

Představte si modelovou situaci:
- Firma aaa.cz posílá e-mail firmě bbb.cz.
- Firma aaa.cz má nastaven SPF záznam, který říká, že pošta z domény aaa.cz může být odeslána pouze z poštovního serveru, který se stará této doméně o poštu (třeba mail.aaa.cz), nikdy jinak! Takový SPF záznam by vypadal následovně: v=spf1 mx -all.
- Poštovní server, který se stará o poštu doméně bbb.cz (třeba mail.bbb.cz), přijme poštu ze serveru mail.aaa.cz od odesílatele faktury@aaa.cz a doručí ji příjemci obchod@bbb.cz. Na poštovním serveru mail.bbb.cz je implementována kontrola SPF, která v tomto případě projde bez chyby.

Trošku model pozměníme. Někdo bude chtít u schránky obchod@bbb.cz nastavit přeposílání do schránky kopie@ccc.cz. Poštovní server, který se stará o poštu doméně ccc.cz (třeba mail.ccc.cz) má taktéž implementovánu kontrolu SPF. V našem kontrétním případě to znamená problém - přesměrovaná pošta nemusí být do schránky kopie@ccc.cz vůbec doručena. Víte proč?

Je to snadné. Server mail.ccc.cz se bude pídit po tom, kdo je oprávněn posílat poštu z domény aaa.cz a díky nastavenému SPF záznamu u domény zjistí, že jedině poštovní server mail.aaa.cz je k tomuto oprávněn a nikdo jiný. Proto si bude myslet, že server mail.bbb.cz je spammer, co se snaží spamovat a/nebo vydávat se za někoho jiného a poštu nepropustí (nebo propustí, ale navýší její spam-skóre, viz SPF_FAIL u Spamassassinu). V případě, že by na serveru mail.ccc.cz nebyla implementována SPF kontrola, přeposlaná pošta by byla doručena. Osobně používám v úvodu zmíněný perlovský skript, který by takový e-mail prostě a jasně nepropustil a basta. Pojďme se ptát, jak toto porušené přeposílání pošty díky SPF vyřešit.

Dlouho nic a pak rovnou dva - Pfixtools & Postsrsd

Dlouho jsem byl smířen s tím, že je to známý problém při využívání SPF a tiše jej toleroval. Jednoho dne jsem však narazil na Pfixtools, který sice fungoval (a jaká byla moje radost, že funguje), ale jeho rozchození pro mne tehdy nebylo zrovna jednoduché (asi proto, že si spoustu věcí kompiluju, potažmo komplikuju?:-). Dnes existuje, čistě dle mého názoru, elegantnější řešení - Postsrsd. Samotnou instalací a nastavením se zabývat nebudu, jedná se o poměrně triviální záležitost a zbytečně bych tím zabíral místo.

Co se dělo před nasazením Postsrsd?

faktury@aaa.cz
|
| MAIL FROM: <faktury@aaa.cz> (odchází ze serveru mail.aaa.cz)
↓
obchod@bbb.cz 
|
| MAIL FROM: <faktury@aaa.cz> (odchází ze serveru mail.bbb.cz)
↓
kopie@ccc.cz

Co se dělo po nasazení Postsrsd?

faktury@aaa.cz
|
| MAIL FROM: <faktury@aaa.cz> (odchází ze serveru mail.aaa.cz)
↓
obchod@bbb.cz 
|
| MAIL FROM: <SRS0+Ab01=Cd=aaa.cz=faktury@bbb.cz> (odchází ze serveru mail.bbb.cz)
↓
kopie@ccc.cz

V případě použití SRS dochází k přepisu obálkového odesílatele (envelope sender), tedy v případě následné SPF kontroly na straně serveru mail.ccc.cz se tento nebude ptát na SPF záznam domény aaa.cz, jak tomu bylo v případě bez nasazení Postsrsd, ale bude se dotazovat na SPF záznam domény bbb.cz. Přeposlaný e-mail dojde do cíle bez ztráty kytičky.

 

štítky: linux postfix spam spf srs
2985x přečteno

Komentáře k článku (0)

Zatím nikdo nic nenapsal, chcete být první?
Vaše jméno/přezdívka: (max 40 znaků)

Web: (nepovinné, max 100 znaků)

Opiště sekvenci znaků:

captcha!

Zde napište komentář: (max 512 znaků)

Copyright © 2015-2017 SOCL.cz, RSS 2.0 RSS kanál blogu
Všechna práva vyhrazena, nebo tak nějak. Kontakt: mujblog(na)socl.cz

WEDOS BANNER