SPF records voor mails sturen via smtp.xs4all.nl ?

[Overflow]

Hoi,

Ik wil SPF records instellen voor mijn domein (niet gehost bij Xs4all).

Er zijn twee methoden die ik gebruik om mails te versturen:

1. Google Apps voor handmatige mail, en
2. ssmtp via smtp.xs4all.nl (met authenticatie) voor
machine-gegenereerde mail. Voor wie ssmtp niet kent: het is geen MTA
maar een MSA (
http://en.wikipedia.org/wiki/E-mail_agent_(infrastructure) ) die op de
command line mails accepteert en ze via SMTP uitstuurt.

Hoe 1 in SPF aan te geven is me duidelijk: include:_spf.google.com .

2 echter niet. Mijn vragen zijn:

a) Moet ik het IP adres van de machine met de MSA opgeven?

b) Zo nee, wat moet ik dan wel opgeven?

Met wat googlen vond ik dat wat mensen include:xs4all.nl gebruikten,
maar 'dig xs4all.nl txt' geeft niets terug, dus dat is sowieso fout.

Een smerige workaround is ptr:xs4all.nl maar ten eerste wil ik helemaal
niet alle xs4all machines autoriseren (bv. adsl lijnen) en ten tweede
hoeven niet alle Xs4all MTA's hun PTR records in xs4all.nl te eindigen
(bv. xs4all.net).

Iemand een idee?

Overflow

[Mark van Dijk]

> 2. ssmtp via smtp.xs4all.nl (met authenticatie) voor
> machine-gegenereerde mail. Voor wie ssmtp niet kent: het is geen MTA
> maar een MSA (
> http://en.wikipedia.org/wiki/E-mail_agent_(infrastructure) ) die op de
> command line mails accepteert en ze via SMTP uitstuurt.
>
> Hoe 1 in SPF aan te geven is me duidelijk: include:_spf.google.com .
>
> 2 echter niet. Mijn vragen zijn:
>
> a) Moet ik het IP adres van de machine met de MSA opgeven?
>
> b) Zo nee, wat moet ik dan wel opgeven?

Je moet de smtp server aan je SPF record toevoegen. Wat er gebeurt voordat
email het internet opgaat is niet relevant. Een ontvangende mailserver
die SPF gebruikt wil alleen maar weten: "mag de host met wie ik nu
verbonden ben wel email sturen voor dit domein". MSA of interne mail
routing, dat maakt niet uit. Dus in dit geval gebruik je het ip, of de
range, van de xs4all mail servers. of: mx:xs4all.nl -- die lijkt me het
slimst.

Mark

[Rob]

Mark van Dijk <ma...@xs4all.gebruiker.invalid> wrote:
> Je moet de smtp server aan je SPF record toevoegen. Wat er gebeurt voordat
> email het internet opgaat is niet relevant. Een ontvangende mailserver
> die SPF gebruikt wil alleen maar weten: "mag de host met wie ik nu
> verbonden ben wel email sturen voor dit domein". MSA of interne mail
> routing, dat maakt niet uit. Dus in dit geval gebruik je het ip, of de
> range, van de xs4all mail servers. of: mx:xs4all.nl -- die lijkt me het
> slimst.

Lijkt me helemaal niet slim!
Het is irrelevant welke servers xs4all als MX heeft ingericht.
Het gaat er om welke ze voor uitgaande mail gebruiken.

[Miquel van Smoorenburg]

In article <slrnj8qph2...@xs8.xs4all.nl>,

Voor uitgaande mail worden de smtp-vbr<nummer>.xs4all.nl servers
gebruikt. Die zitten momenteel in 194.109.24.0/24. De mailservers
voor inkomende mail (mx1..4) zitten ook in die range.

Dus mx:xs4all.nl/24 werkt (let op, wel met /24 erachter, om het hele
netwerk aan te geven). "Toevallig", op dit moment. Maar beter
is het om een include te gebruiken van een XS4ALL record die
aangeeft wat de uitgaande mailservers zijn. Je gebruikt dan in je
SPF record "include:spf-considered-harmful.xs4all.nl".

Weet je gelijk wat onze mail beheerders van SPF vinden ... :)

Mike.

[Overflow]

Ah, kijk. Dat was precies waar ik naar op zoek was. Dank.

Heheh, ik ben er zelf ook niet helemaal van overtuigd, maar Google Apps
support wil dat het aanstaat voor ze me met een spamprobleem willen helpen.

Wat is de reden dat het 'considered harmful' is? Omdat de genoemde
adressen bestookt gaan worden met pogingen om binnen te komen?

Overflow

[Operator]

In article <4e8d7b8d$0$2435$e4fe...@news2.news.xs4all.nl>,

Overflow <us...@example.net> writes:

> Heheh, ik ben er zelf ook niet helemaal van overtuigd, maar Google Apps
> support wil dat het aanstaat voor ze me met een spamprobleem willen helpen.

Wat een sukkels.

> Wat is de reden dat het 'considered harmful' is?

Het maakt forwarding stuk.

[Rob van der Putten]

Moguh


Operator wrote:

> Wat een sukkels.

Het is in ieder geval een uitvlucht.

> Het maakt forwarding stuk.

Ik doe geen SPF check op hosts waar ik een forward heb. Zonder dat kan
je eigenlijk niet filteren.


Vr.Gr,
Rob
--
Wim T. Schippers for president
http://nl.wikipedia.org/wiki/Bestand:Universiteit_Twente_Verzonken_Torentje_van_Drienerlo.jpg

[Osiris]

Het is bij mij bekend welke servers de forwarding verzorgen voor mijn
mail en m.b.v. Postfix bouw ik vervolgens van de twee relevante
Received-headers ééntje. Alsof de forwarding server er helemaal niet
tussen heeft gezeten. :) Et voila, SPF werkt weer als een tiet.

[Operator]

In article <4e8dcb10$0$2515$e4fe...@news.xs4all.nl>,

En als je gaat forwarden voor l...@club.example.com
naar club...@mail.example.com

Hoe doe je dat dan?

[Osiris]

Ah, tja, in mijn geval ben ik altijd een (begin- of) eindstation. Dus
diegene die de SPF-check doet. Forwarden doe ik niet aan. Of begrijp ik
je verkeerd?

[Mark Huizer]

The wise Osiris enlightened me with:

In jouw specifieke geval niet. Maar voor veel partijen is dat best
onhandig. ISP's bijv, waar een gebruiker zijn j...@isp.example.com graag naar
j...@hetemeel.example.com laat doorsturen. En dan graag wel de afzender
intact laten :-) Daar is de ISP een tussenstation.

Mark

[Operator]

In article <4e8e22b1$0$2512$e4fe...@news.xs4all.nl>,

Je begrijpt me goed.
Ik ben niet het begin of eindstation.
Ik doe geen SPF-check.
Ik moet af en toe bouncen omdat het eindstation geen
mail van mij aanneemt met een afzender uit een ander domein.
Het eindstation doet de SPF-check
en het afzenderdomein beperkt de mogelijke bronnen.

Gelukkig neemt hotmail wel hotmail aan:
dsn=2.0.0, status=sent (250 mail from IP <nr> soft failed sender ID check.
Please ensure this IP is authorized to send mail on behalf of [hotmail.com])

Ze kunnen beter de SPF-check weghalen.
piet@hotmail -> jan@club -> jan@hotmail moet kunnen.

[Den Voldere]

Hoi,

> Je gebruikt dan in je SPF record "include:spf-considered-harmful.xs4all.nl".
> Weet je gelijk wat onze mail beheerders van SPF vinden ... :)

<gewoon_nieuwsgierig>
En wat vinden ze van dkim ?
</gewoon_nieuwsgierig>

Fijn weekend.
Robert

[Philip Homburg]

In article <4e8ef494$0$2441$7246...@reader1.erje.net>,

Het begint natuurlijk met de vraag welk probleem je eigenlijk probeert op te
lossen? Ik ben nog niets tegengekomen wat de extra complexiteit rechtvaardigt.


--
That was it. Done. The faulty Monk was turned out into the desert where it
could believe what it liked, including the idea that it had been hard done
by. It was allowed to keep its horse, since horses were so cheap to make.
-- Douglas Adams in Dirk Gently's Holistic Detective Agency

[Rob]

Philip Homburg <phi...@ue.aioy.eu> wrote:
> In article <4e8ef494$0$2441$7246...@reader1.erje.net>,
> Den Voldere <spamcan...@erje.net> wrote:
>>Hoi,
>>
>>> Je gebruikt dan in je SPF record "include:spf-considered-harmful.xs4all.nl".
>>> Weet je gelijk wat onze mail beheerders van SPF vinden ... :)
>>
>><gewoon_nieuwsgierig>
>> En wat vinden ze van dkim ?
>></gewoon_nieuwsgierig>
>
> Het begint natuurlijk met de vraag welk probleem je eigenlijk probeert op te
> lossen? Ik ben nog niets tegengekomen wat de extra complexiteit rechtvaardigt.

Mijn ervaring is dat het hebben van een (blokkerend) SPF record wel goed
helpt tegen het misbruiken van je domein als forged spam source.

En dat helpt dan weer je reputatie en scheelt je in bounces.

[Miquel van Smoorenburg]

In article <4e8ef494$0$2441$7246...@reader1.erje.net>,
Den Voldere <spamcan...@erje.net> wrote:

Geen idee, eigenlijk.

Mike.

[Rob van der Putten]

Moguh

Den Voldere wrote:

> <gewoon_nieuwsgierig>
> En wat vinden ze van dkim ?
> </gewoon_nieuwsgierig>

Dkim zit in de data fase. Spf zit daarvoor.
SpamAssassin checkt er wel op. Voor de rest doe ik er niet aan mee.