[FUG-BR] Problemas com SPF

Elton Clemente elton.kairos em gmail.com
Quinta Março 12 14:03:51 BRT 2009 

Olá,


   Respondendo as perguntas, não há relay aberto. Muito antes pelo
contrário.
   O servidor de e-mails é o sendmail, e o spf é o sid-milter ou sid-filter,
como preferirem.

  O que está acontecendo é que, um repesentante fora da empresa, não
consegue enviar e-mails através do smtp da empresa AUTENTICANDO-SE nele. Sem
se autenticar não vai funcionar mesmo, pois o relay não está aberto.


   Vou colocar mais detalhes da configuração:

   O sid-milter (sif-filter) eu executo assim:
   /usr/local/libexec/sid-filter -r 2 -A -a /etc/mail/spf/whitelist -l -p
local:/var/run/sid-filter -P /var/run/sid-filter.pid

   Onde:
   -r 2 which  rejects  mail if either the Sender ID or SPF test reports
"fail";
   -A Automatically  re-start  on  failures.
   -a Identifies a file of "peers" which identifies clients whose
connections should be accepted without processing by  this  filter. Pode
ser domínio, IP, rede/mascara e ainda aceita ! para negação.
   -l Log via calls to syslog(3) any interesting activity.
   -p socketspec
   -P pidfile

   O arquivo /etc/mail/spf/whitelist contém:
127.0.0.1
192.168.1.0/24
192.168.2.0/24
192.168.100.0/24

   No sendmail, tenho as seguintes configurações:

   sendmail.mc:

divert(0)dnl
VERSIONID(`$Id: generic-bsd4.4.mc,v 8.10 1999/02/07 07:26:02 gshapiro Exp
$')
OSTYPE(freebsd6)
DOMAIN(generic)
FEATURE(access_db, `hash -o -T<TMPF> /etc/mail/access')
define(`confCONNECTION_RATE_WINDOW_SIZE',`1m')dnl
define(`confBAD_RCPT_THROTTLE',`3')dnl
FEATURE(blacklist_recipients)
FEATURE(mailertable, `hash -o /etc/mail/mailertable')
FEATURE(virtusertable, `hash -o /etc/mail/virtusertable')
FEATURE(masquerade_envelope)dnl
FEATURE(allmasquerade)dnl
FEATURE(`no_default_msa')dnl turn off default entry for MSA
FEATURE(`block_bad_helo')
FEATURE(`badmx')
FEATURE(`nocanonify')
FEATURE(`use_client_ptr')
define(`SMART_HOST',`mail.dominio.com.br')
define(`confMAX_MESSAGE_SIZE', 40000000)
define(`confMAX_RCPTS_PER_MESSAGE', 300)
FEATURE(`no_default_msa')dnl turn off default entry for MSA
define(`confSMTP_LOGIN_MSG', ``$j'')
define(`confBIND_OPTS', `WorkAroundBrokenAAAA')
define(`confMAX_MIME_HEADER_LENGTH', `256/128')
define(`confNO_RCPT_ACTION', `add-to-undisclosed')
define(`confPRIVACY_FLAGS',
`authwarnings,noexpn,novrfy,goaway,noreceipts,restrictmailq,restrictqrun')
MAILER(local)
MAILER(smtp)
define(`confAUTH_OPTIONS', `A')dnl
TRUST_AUTH_MECH(`GSSAPI LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `GSSAPI LOGIN PLAIN')dnl
define(`confDEF_AUTH_INFO', `/etc/mail/auth-info')dnl
define(`MILTER',4)
define(`confMILTER_MACROS_HELO', confMILTER_MACROS_HELO`, {verify}')dnl
INPUT_MAIL_FILTER(`spf-milter', `S=local:/var/run/sid-filter, F=T,
T=C:4m;S:4m;R:8m;E:10m')
INPUT_MAIL_FILTER(`milter-amavis', `S=local:/var/amavis/amavis-milter.sock,
F=T, T=S:10m;R:10m;E:10m')dnl
INPUT_MAIL_FILTER(`milter-length',
`S=unix:/var/run/milter/milter-length.socket, T=C:3m;S:30s;R:2m;E:5m')dnl
INPUT_MAIL_FILTER(`milter-bcc', `S=unix:/var/run/milter/milter-bcc.socket,
T=C:3m;S:30s;R:2m;E:5m')dnl

   e o arquivo site.config.m4
APPENDDEF(`confINCDIRS', `-I/usr/local/BerkeleyDB.4.4/include')
APPENDDEF(`confLIBDIRS', `-L/usr/local/BerkeleyDB.4.4/lib')
APPENDDEF(`conf_mail_local_ENVDEF', `-DQUEUE_ONLY')
APPENDDEF(`conf_smrsh_ENVDEF', `-DCMDDIR="\"/usr/local/libexec/sm.bin\""')
APPENDDEF(`conf_smrsh_ENVDEF', `-DPATH="\"/bin:/usr/bin\""')
define(`confNO_STATISTICS_INSTALL',`True')
APPENDDEF(`conf_sendmail_ENVDEF', `-DTCPWRAPPERS')
APPENDDEF(`conf_sendmail_LIBS', `-lwrap')"
APPENDDEF(`conf_sendmail_ENVDEF', `-I/usr/local/include/sasl')
APPENDDEF(`conf_sendmail_ENVDEF', `-DSASL=2')
APPENDDEF(`confLIBDIRS', `-L/usr/local/lib/sasl2')
APPENDDEF(`conf_sendmail_LIBS', `-lsasl2')
APPENDDEF(`confINCDIRS', `-I/usr/local/include/sasl')
APPENDDEF(`conf_libmilter_ENVDEF', `-DMILTER')
APPENDDEF(`conf_sendmail_ENVDEF', `-DMILTER')
APPENDDEF(`confLIBDIRS', `-L/usr/local/lib' -rpath=/usr/local/lib )
APPENDDEF(`confINCDIRS', `-I/usr/local/include')
APPENDDEF(`conf_sendmail_ENVDEF', `-DHASSRANDOMDEV')
APPENDDEF(`confENVDEF', `-DBROKEN_PTHREAD_SLEEP')

   Será que alguém tem alguma idéia do que possa estar acontecendo?
   Em resumo, eu preciso que o filtro SPF ignore e-mails que meus
representantes tentam enviar usando o próprio servidor SMTP, desde que
devidamente autenticado.
  O que eu não quero é liberar todo o meu domínio, pois vai encher de spams
vindos de tudo quanto é canto de pessoas se passando pelo meu domínio.
  Pois estava recebendo e-mails como se eu mesmo fosse o emitente, mas de
IPs de spammers, de fora da minha rede.
  O mesmo estava acontecendo para mais de 100 contas de usuários.

Abraços,
Elton



2009/3/11 Danilo G. Baio <danilobaio2 at gmail.com>

> 2009/3/10 Elton Clemente <elton.kairos at gmail.com>
>
> > Não verdade eu não faço a menor idéia do que esteja acontecendo.
> > Ativei o SPF pq estava entrando muitos spams com o domínio de origem
> sendo
> > o
> > nosso, embora fossem originados fora daqui (IPs de fora).
> >
> > Mas se eu desativar ou mesmo colocar o domínio na whitelist, esses spams,
> > voltarão. Mas estou falando de uma quantidade absurda, não tenho como
> tirar
> > esse filtro fora.
> >
> > Nos logs do sendmail, mostrar o login no servidor SMTP e o sid-milter
> > bloqueando por causa do IP de origem sendo de fora.
> >
> >
> > Alguém teria mais alguma idéia para ajudar?
> >
> > Desde já, agradeço.
> >
> > 2009/3/10 Eduardo Schoedler <eschoedler at viavale.com.br>
> >
> > > Coloque como tempfail, até você ver oq está acontecendo...
> > >
> > >
> > >
> > >
> > > --------------------------------------------------
> > > From: "Elton Clemente" <elton.kairos at gmail.com>
> > > Sent: Tuesday, March 10, 2009 4:26 PM
> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > > <freebsd at fug.com.br>
> > > Subject: [FUG-BR] Problemas com SPF
> > >
> > > > Pessoal,
> > > >
> > > >
> > > >  Recorro a vocês...
> > > >
> > > >  Tenho um servidor de e-mails com SPF e SMTP Autenticado.
> > > >  Acontece que os representantes estão sendo bloqueados pelo SPF.
> > > >
> > > >  Não tem uma forma de informar que se o usuário vier de outro IP, mas
> > for
> > > > autenticado liberar o envio do email?
> > > >
> > > >
> > > >  Desde já agradeço qualquer ajuda.
> > > >
> > > >
> > > > Abraços,
> > > > Elton
> >
> >
>
>
>
> Bom dia.
>
> O ip do servidor que os usuários autenticam estão liberados no SPF do
> domínio em questão  ?
>
>
> --
> Danilo Gonçalves Baio (dbaio)
> danilobaio  (*) gmail . com
> danilobaio2 (*) gmail . com
> (44) 8801 1257
>  -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd