[FUG-BR] Problemas com SPF

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Quinta Março 12 17:35:30 BRT 2009 

Elton Clemente escreveu:
> Olá,
> 
> 
>    Respondendo as perguntas, não há relay aberto. Muito antes pelo
> contrário.
>    O servidor de e-mails é o sendmail, e o spf é o sid-milter ou sid-filter,
> como preferirem.
> 
>   O que está acontecendo é que, um repesentante fora da empresa, não
> consegue enviar e-mails através do smtp da empresa AUTENTICANDO-SE nele. Sem
> se autenticar não vai funcionar mesmo, pois o relay não está aberto.

Ai que esta o problema. O SPF não pode ser chamado para IPs com RELAY 
aberto. Pelo que eu saiba o INPUT_MAIL_FILTER vai sempre evocar a 
toolchain configurada, ou seja ele não é splithorizon-aware, não fazendo 
distinção de RELAY ou !RELAY.

Nesse caso o milter em questão deveria identificar sozinho pois se ele 
depende que o sendmail o faça, está ai o problema.

Como problema pouco é besteira, segue mais um: sid-milter não verifica isso.

Ele considera apenas o access.db ou seja apenas lista de RELAY estatico. 
Bom isso né? Se você não acha junte-se a lista dos que estão com o mesmo 
problema que você:

http://sourceforge.net/tracker/index.php?func=detail&aid=1054906&group_id=112121&atid=661333

Pelo que entendo da thread dos caboclinhos desenvolvedores eles 
acreditam que o ideal é isso mesmo hehehe, que o comportamento de um 
recurso (SMTP-AUTH ou POP-Before-SMTP) não deve interferir com outro.

Ou seja ou voce troca o milter, ou modifica o source pra avaliar isso, 
ou troca o MTA inteiro, ou sei la... outra solução paleativa.


> 
> 
>    Vou colocar mais detalhes da configuração:
> 
>    O sid-milter (sif-filter) eu executo assim:
>    /usr/local/libexec/sid-filter -r 2 -A -a /etc/mail/spf/whitelist -l -p
> local:/var/run/sid-filter -P /var/run/sid-filter.pid
> 
>    Onde:
>    -r 2 which  rejects  mail if either the Sender ID or SPF test reports
> "fail";
>    -A Automatically  re-start  on  failures.
>    -a Identifies a file of "peers" which identifies clients whose
> connections should be accepted without processing by  this  filter. Pode
> ser domínio, IP, rede/mascara e ainda aceita ! para negação.
>    -l Log via calls to syslog(3) any interesting activity.
>    -p socketspec
>    -P pidfile
> 
>    O arquivo /etc/mail/spf/whitelist contém:
> 127.0.0.1
> 192.168.1.0/24
> 192.168.2.0/24
> 192.168.100.0/24
> 
>    No sendmail, tenho as seguintes configurações:
> 
>    sendmail.mc:
> 
> divert(0)dnl
> VERSIONID(`$Id: generic-bsd4.4.mc,v 8.10 1999/02/07 07:26:02 gshapiro Exp
> $')
> OSTYPE(freebsd6)
> DOMAIN(generic)
> FEATURE(access_db, `hash -o -T<TMPF> /etc/mail/access')
> define(`confCONNECTION_RATE_WINDOW_SIZE',`1m')dnl
> define(`confBAD_RCPT_THROTTLE',`3')dnl
> FEATURE(blacklist_recipients)
> FEATURE(mailertable, `hash -o /etc/mail/mailertable')
> FEATURE(virtusertable, `hash -o /etc/mail/virtusertable')
> FEATURE(masquerade_envelope)dnl
> FEATURE(allmasquerade)dnl
> FEATURE(`no_default_msa')dnl turn off default entry for MSA
> FEATURE(`block_bad_helo')
> FEATURE(`badmx')
> FEATURE(`nocanonify')
> FEATURE(`use_client_ptr')
> define(`SMART_HOST',`mail.dominio.com.br')
> define(`confMAX_MESSAGE_SIZE', 40000000)
> define(`confMAX_RCPTS_PER_MESSAGE', 300)
> FEATURE(`no_default_msa')dnl turn off default entry for MSA
> define(`confSMTP_LOGIN_MSG', ``$j'')
> define(`confBIND_OPTS', `WorkAroundBrokenAAAA')
> define(`confMAX_MIME_HEADER_LENGTH', `256/128')
> define(`confNO_RCPT_ACTION', `add-to-undisclosed')
> define(`confPRIVACY_FLAGS',
> `authwarnings,noexpn,novrfy,goaway,noreceipts,restrictmailq,restrictqrun')
> MAILER(local)
> MAILER(smtp)
> define(`confAUTH_OPTIONS', `A')dnl
> TRUST_AUTH_MECH(`GSSAPI LOGIN PLAIN')dnl
> define(`confAUTH_MECHANISMS', `GSSAPI LOGIN PLAIN')dnl
> define(`confDEF_AUTH_INFO', `/etc/mail/auth-info')dnl
> define(`MILTER',4)
> define(`confMILTER_MACROS_HELO', confMILTER_MACROS_HELO`, {verify}')dnl
> INPUT_MAIL_FILTER(`spf-milter', `S=local:/var/run/sid-filter, F=T,
> T=C:4m;S:4m;R:8m;E:10m')
> INPUT_MAIL_FILTER(`milter-amavis', `S=local:/var/amavis/amavis-milter.sock,
> F=T, T=S:10m;R:10m;E:10m')dnl
> INPUT_MAIL_FILTER(`milter-length',
> `S=unix:/var/run/milter/milter-length.socket, T=C:3m;S:30s;R:2m;E:5m')dnl
> INPUT_MAIL_FILTER(`milter-bcc', `S=unix:/var/run/milter/milter-bcc.socket,
> T=C:3m;S:30s;R:2m;E:5m')dnl
> 
>    e o arquivo site.config.m4
> APPENDDEF(`confINCDIRS', `-I/usr/local/BerkeleyDB.4.4/include')
> APPENDDEF(`confLIBDIRS', `-L/usr/local/BerkeleyDB.4.4/lib')
> APPENDDEF(`conf_mail_local_ENVDEF', `-DQUEUE_ONLY')
> APPENDDEF(`conf_smrsh_ENVDEF', `-DCMDDIR="\"/usr/local/libexec/sm.bin\""')
> APPENDDEF(`conf_smrsh_ENVDEF', `-DPATH="\"/bin:/usr/bin\""')
> define(`confNO_STATISTICS_INSTALL',`True')
> APPENDDEF(`conf_sendmail_ENVDEF', `-DTCPWRAPPERS')
> APPENDDEF(`conf_sendmail_LIBS', `-lwrap')"
> APPENDDEF(`conf_sendmail_ENVDEF', `-I/usr/local/include/sasl')
> APPENDDEF(`conf_sendmail_ENVDEF', `-DSASL=2')
> APPENDDEF(`confLIBDIRS', `-L/usr/local/lib/sasl2')
> APPENDDEF(`conf_sendmail_LIBS', `-lsasl2')
> APPENDDEF(`confINCDIRS', `-I/usr/local/include/sasl')
> APPENDDEF(`conf_libmilter_ENVDEF', `-DMILTER')
> APPENDDEF(`conf_sendmail_ENVDEF', `-DMILTER')
> APPENDDEF(`confLIBDIRS', `-L/usr/local/lib' -rpath=/usr/local/lib )
> APPENDDEF(`confINCDIRS', `-I/usr/local/include')
> APPENDDEF(`conf_sendmail_ENVDEF', `-DHASSRANDOMDEV')
> APPENDDEF(`confENVDEF', `-DBROKEN_PTHREAD_SLEEP')
> 
>    Será que alguém tem alguma idéia do que possa estar acontecendo?
>    Em resumo, eu preciso que o filtro SPF ignore e-mails que meus
> representantes tentam enviar usando o próprio servidor SMTP, desde que
> devidamente autenticado.
>   O que eu não quero é liberar todo o meu domínio, pois vai encher de spams
> vindos de tudo quanto é canto de pessoas se passando pelo meu domínio.
>   Pois estava recebendo e-mails como se eu mesmo fosse o emitente, mas de
> IPs de spammers, de fora da minha rede.
>   O mesmo estava acontecendo para mais de 100 contas de usuários.
> 
> Abraços,
> Elton
> 
> 
> 
> 2009/3/11 Danilo G. Baio <danilobaio2 em gmail.com>
> 
>> 2009/3/10 Elton Clemente <elton.kairos em gmail.com>
>>
>>> Não verdade eu não faço a menor idéia do que esteja acontecendo.
>>> Ativei o SPF pq estava entrando muitos spams com o domínio de origem
>> sendo
>>> o
>>> nosso, embora fossem originados fora daqui (IPs de fora).
>>>
>>> Mas se eu desativar ou mesmo colocar o domínio na whitelist, esses spams,
>>> voltarão. Mas estou falando de uma quantidade absurda, não tenho como
>> tirar
>>> esse filtro fora.
>>>
>>> Nos logs do sendmail, mostrar o login no servidor SMTP e o sid-milter
>>> bloqueando por causa do IP de origem sendo de fora.
>>>
>>>
>>> Alguém teria mais alguma idéia para ajudar?
>>>
>>> Desde já, agradeço.
>>>
>>> 2009/3/10 Eduardo Schoedler <eschoedler em viavale.com.br>
>>>
>>>> Coloque como tempfail, até você ver oq está acontecendo...
>>>>
>>>>
>>>>
>>>>
>>>> --------------------------------------------------
>>>> From: "Elton Clemente" <elton.kairos em gmail.com>
>>>> Sent: Tuesday, March 10, 2009 4:26 PM
>>>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>>>> <freebsd em fug.com.br>
>>>> Subject: [FUG-BR] Problemas com SPF
>>>>
>>>>> Pessoal,
>>>>>
>>>>>
>>>>>  Recorro a vocês...
>>>>>
>>>>>  Tenho um servidor de e-mails com SPF e SMTP Autenticado.
>>>>>  Acontece que os representantes estão sendo bloqueados pelo SPF.
>>>>>
>>>>>  Não tem uma forma de informar que se o usuário vier de outro IP, mas
>>> for
>>>>> autenticado liberar o envio do email?
>>>>>
>>>>>
>>>>>  Desde já agradeço qualquer ajuda.
>>>>>
>>>>>
>>>>> Abraços,
>>>>> Elton
>>>
>>
>>
>> Bom dia.
>>
>> O ip do servidor que os usuários autenticam estão liberados no SPF do
>> domínio em questão  ?
>>
>>
>> --
>> Danilo Gonçalves Baio (dbaio)
>> danilobaio  (*) gmail . com
>> danilobaio2 (*) gmail . com
>> (44) 8801 1257
>>  -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd