Do Lemata SPF_Not_Pass Postfix

KIKI

unread,

Aug 28, 2020, 12:38:41 AM8/28/20

to

Cześć,

Wszyscy w internecie tylko bezmyślnie przepisują manula policyd spf w
pythonie, a manual jest z 2012 i jakby autor nie przeczytał tego drugi
raz zanim opublikuje :-)

SPF_Not_Pass
SoftFail
PermError
result not Pass
None
Tempfail
Fail

Czy gdy
HELO_reject = SPF_Not_Pass
Mail_From_reject = SPF_Not_Pass

to SPF_Not_Pass ma w sobie PermError i Softfail i co to do diabła
znaczy? Tam jest sprzeczność w opisach, że
SPF_Not_Pass = result not Pass/None/Tempfail

Ale czy "not Pass" to jest wszystko razem czyli i SoftFail i PermError?

Chcę domknąć furtkę gdy spamer znajdzie czyjś SPF z ?All zamiast -All
żeby mi nie wstrzykiwał maili gdy status analizy SPF jest chociażby neutral.
Chciałbym żeby rekordy SPF nieposiadające dokładnie "-All" były
traktowane jako spamujące.

A czy ten Mail_From_reject to sprawdza kopertę? A czy by nie można jakoś
sprawdzić zwykłego From albo Reply to ?

KIKI

unread,

Sep 21, 2020, 11:58:01 AM9/21/20

to

Halo, Lemat jesteś z nami?

Lemat

unread,

Sep 21, 2020, 1:07:13 PM9/21/20

to

W dniu 28.08.2020 o 06:38, KIKI pisze:

> Cześć,
>
> Wszyscy w internecie tylko bezmyślnie przepisują manula policyd spf w
> pythonie, a manual jest z 2012 i jakby autor nie przeczytał tego drugi
> raz zanim opublikuje :-)
>
> SPF_Not_Pass
> SoftFail
> PermError
> result not Pass
> None
> Tempfail
> Fail
>
> Czy gdy
> HELO_reject = SPF_Not_Pass
> Mail_From_reject = SPF_Not_Pass
>
> to SPF_Not_Pass ma w sobie PermError i Softfail i co to do diabła
> znaczy? Tam jest sprzeczność w opisach, że
> SPF_Not_Pass = result not Pass/None/Tempfail
>
> Ale czy "not Pass" to jest wszystko razem czyli i SoftFail i PermError?
>
> Chcę domknąć furtkę gdy spamer znajdzie czyjś SPF z ?All zamiast -All
> żeby mi nie wstrzykiwał maili gdy status analizy SPF jest chociażby neutral.

no dokładnie. To użyj tych opcji.
oczywiście nie zadziała gdy nadawca nie używa SPF w ogóle

> Chciałbym żeby rekordy SPF nieposiadające dokładnie "-All" były
> traktowane jako spamujące.

yyyy, no to nie
Ty musisz sprawdzać nie to, jak kończy się rekord SPF tylko czy
połączenie przychodzące pasuje do rekordu SPF. Poziom skomplikowania ++.

przykład:

example.com TXT "v=spf1 ip4:1.2.3.4 ~all"
i połączenie ci przychodzi właśnie z 1.2.3.4
wynikiem filtra będzie "pass" i zgodnie z opcją SPF_Not_Pass email
przejdzie.

example.com TXT "v=spf1 ip4:1.2.3.4 ~all"
i połączenie ci przychodzi z 5.6.7.8
wynikiem filtra będzie "softfail" i zgodnie z opcją SPF_Not_Pass email
NIE przejdzie.

example.com TXT "v=spf1 ip4:1.2.3.4 -all"
i połączenie ci przychodzi właśnie z 1.2.3.4
wynikiem filtra będzie "pass" i zgodnie z opcją SPF_Not_Pass email
przejdzie.

example.com TXT "v=spf1 ip4:1.2.3.4 -all"
i połączenie ci przychodzi z 5.6.7.8
wynikiem filtra będzie "fail" i zgodnie z opcją SPF_Not_Pass email NIE
przejdzie.

example.com TXT "v=spf1 ip4:1.2.3.4 ?all"
i połączenie ci przychodzi właśnie z 1.2.3.4
wynikiem filtra będzie "pass" i zgodnie z opcją SPF_Not_Pass email
przejdzie.

example.com TXT "v=spf1 ip4:1.2.3.4 ?all"
i połączenie ci przychodzi z 5.6.7.8
wynikiem filtra będzie (chyba) "softfail" i zgodnie z opcją SPF_Not_Pass
email NIE przejdzie.

> A czy ten Mail_From_reject to sprawdza kopertę? A czy by nie można jakoś
> sprawdzić zwykłego From albo Reply to ?
>

SPF sprawdza adresy kopertowe
DKIM + DMARC - adresy nagłówkowe

--
Pozdrawiam
Lemat

KIKI

unread,

Sep 21, 2020, 2:27:36 PM9/21/20

to

On 21.09.2020 19:07, Lemat wrote:

A brak SPF w ogóle to jak sprawdzić i odbić ?

Anonymous

unread,

Sep 21, 2020, 3:02:49 PM9/21/20

to

KIKI <hf...@ueur.dl> wrote:
> On 21.09.2020 19:07, Lemat wrote:
>
>
> A brak SPF w ogóle to jak sprawdzić i odbić ?
>

A jaki MTA ?

Lemat

unread,

Sep 21, 2020, 4:00:37 PM9/21/20

to

W dniu 21.09.2020 o 20:27, KIKI pisze:

> On 21.09.2020 19:07, Lemat wrote:
>
>
> A brak SPF w ogóle to jak sprawdzić i odbić ?
>

pokombinuj z nagłówkami, przy policyd-spf-python będzie to:

postfix, header_checks

/^Authentication-Results: mail.lemat.priv.pl; spf=none/ REJECT

albo w spamassassinie dodaj score
albo zmodyfikuj skrypt policyd-spf-python

--
Pozdrawiam
Lemat

KIKI

unread,

Sep 21, 2020, 6:50:11 PM9/21/20

to

Teraz ma tak w postfix-policyd-spf-python:

debugLevel = 1
TestOnly = 0

HELO_reject = SPF_Not_Pass # Fail
Mail_From_reject = SPF_Not_Pass # Fail
PermError_reject = True # False
TempError_Defer = False

skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0/104,::1
------------------------------------------------------

header_checks:
...
...
/^Subject: =?big5?/REJECT
/^okazikmail\.pl/REJECT
/^cwanylis/REJECT
/^v-send\.pl/REJECT
/^einternetmarketing\.net/REJECT
/name=[^>]*\.(bat|com|exe|dll|vbs|scr|js|jar|htm|html|ace|iso|doc|docx|xls|xlsx|eml|ini)/REJECT

/^Authentication-Results: mx.mojadomena.pl; spf=none/ REJECT

(czy ma być mój MX ??)
--------------------------------
W header_checks mogę dopisać a co z policyd-spf-python?

Nie ma tam czegoś dla nospf? Tak po prostu?

Lemat

unread,

Sep 21, 2020, 9:05:45 PM9/21/20

to

W dniu 22.09.2020 o 00:50, KIKI pisze:

> /^Authentication-Results: mx.mojadomena.pl; spf=none/ REJECT
>
> (czy ma być mój MX ??)

policyd-spf-python ma parametr Authserv_Id
i to jest to, co jest wstawiane własnie w tym miejscu
obejrzyj sobie nagłówki jakiegoś emaila, który przyjdzie do Ciebie.

> --------------------------------
> W header_checks mogę dopisać a co z policyd-spf-python?
>
> Nie ma tam czegoś dla nospf? Tak po prostu?
>
>

no ja tam nie widzę, możesz dopisać albo poprosić autora, w końcu to
open-source

--
Pozdrawiam
Lemat

KIKI

unread,

Sep 22, 2020, 8:45:29 AM9/22/20

to

On 22.09.2020 03:05, Lemat wrote:
> W dniu 22.09.2020 o 00:50, KIKI pisze:
>
>> /^Authentication-Results: mx.mojadomena.pl; spf=none/ REJECT
>>
>> (czy ma być mój MX ??)
>
> policyd-spf-python ma parametr Authserv_Id
> i to jest to, co jest wstawiane własnie w tym miejscu
> obejrzyj sobie nagłówki jakiegoś emaila, który przyjdzie do Ciebie.

Faktycznie jest "Authentication-Results" w źródłach maili. Muszę na
spokojnie pooglądać maile, może faktycznie wystarczy regułka. Szkoda, że
ten policyd-spf-python jest taki zawiły jeśli chodzi o określenia co
jest czym, a brak najważniejszego.

Jak zawsze można na Ciebie liczyć hehe, dzięki :-)
Już myślałem, że masz covida czy coś :-) A spamu z lekami na covida nie
ma, bo działa filtrowanie i co poczniesz? :-)

KIKI

unread,

Sep 25, 2020, 7:26:31 PM9/25/20

to

On 22.09.2020 03:05, Lemat wrote:

> W dniu 22.09.2020 o 00:50, KIKI pisze:
>
>> /^Authentication-Results: mx.mojadomena.pl; spf=none/ REJECT
>>
>> (czy ma być mój MX ??)
>
> policyd-spf-python ma parametr Authserv_Id
> i to jest to, co jest wstawiane własnie w tym miejscu
> obejrzyj sobie nagłówki jakiegoś emaila, który przyjdzie do Ciebie.

To nie jest do końca tak. Przejrzałem wiele maili ze spamem.

Np taki spamer:
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=51.38.137.52;
helo=mail.dobryleasingwyposazenia.pl;
envelope-from=l.da...@leasing-wyposazenia.pl; receiver=<UNKNOWN>

Czasem jest:
Received-SPF: None ........

Natomiast czasem nie ma w ogóle tego "Received-SPF:" i już nie wiem co
tu począć.

KIKI

unread,

Sep 25, 2020, 8:05:20 PM9/25/20

to

Na razie włączyłem pełnego DMARC-a wg. tego opisu

https://www.linuxbabe.com/mail-server/opendmarc-postfix-ubuntu

AuthservID OpenDMARC
TrustedAuthservIDs mail.mojadomena.tld
RejectFailures true
RequiredHeaders true
SPFSelfValidate true

Zobaczymy co to da i ile false positeves ?

Lemat

unread,

Sep 26, 2020, 4:25:14 AM9/26/20

to

W dniu 26.09.2020 o 01:26, KIKI pisze:

za to jaki masz nagłówek - czy Authentication-Results czy Received-SPF
odpowiada parametr:

Header_Type = AR

--
Pozdrawiam
Lemat

KIKI

unread,

Sep 26, 2020, 10:33:41 AM9/26/20

to

On 26.09.2020 10:25, Lemat wrote:

> za to jaki masz nagłówek - czy Authentication-Results czy Received-SPF
> odpowiada parametr:
>
> Header_Type = AR

Mnie to trapi, bo chyba zrezygnuję z włączenia dobijania kompletnego
DMARC, bo mi nie dojdzie połowa maili. Patrzę sobie, a mało kto ma
dobrze skonfigurowany serwer. Podpisy DKIM ma połowa.