🚀 go-pugleaf

Halo, Lemat jesteś z nami?

KIKI <hfhf@ueur.dl> wrote:
> On 21.09.2020 19:07, Lemat wrote:
>
>
> A brak SPF w ogóle to jak sprawdzić i odbić ?
>

A jaki MTA ?

W dniu 28.08.2020 o 06:38, KIKI pisze:
> Cześć,
>
> Wszyscy w internecie tylko bezmyślnie przepisują manula policyd spf w
> pythonie, a manual jest z 2012 i jakby autor nie przeczytał tego drugi
> raz zanim opublikuje :-)
>
> SPF_Not_Pass
> SoftFail
> PermError
> result not Pass
> None
> Tempfail
> Fail
>
> Czy gdy
> HELO_reject      = SPF_Not_Pass
> Mail_From_reject = SPF_Not_Pass
>
> to SPF_Not_Pass ma w sobie PermError i Softfail i co to do diabła
> znaczy? Tam jest sprzeczność w opisach, że
> SPF_Not_Pass = result not Pass/None/Tempfail
>
> Ale czy "not Pass" to jest wszystko razem czyli i SoftFail i PermError?
>
> Chcę domknąć furtkę gdy spamer znajdzie czyjś SPF z ?All zamiast -All
> żeby mi nie wstrzykiwał maili gdy status analizy SPF jest chociażby neutral.

no dokładnie. To użyj tych opcji.
oczywiście nie zadziała gdy nadawca nie używa SPF w ogóle

> Chciałbym żeby rekordy SPF nieposiadające dokładnie "-All" były
> traktowane jako spamujące.

yyyy, no to nie
Ty musisz sprawdzać nie to, jak kończy się rekord SPF tylko czy
połączenie przychodzące pasuje do rekordu SPF. Poziom skomplikowania ++.


przykład:

example.com TXT "v=spf1 ip4:1.2.3.4 ~all"
i połączenie ci przychodzi właśnie z 1.2.3.4
wynikiem filtra będzie "pass" i zgodnie z opcją SPF_Not_Pass email
przejdzie.

example.com TXT "v=spf1 ip4:1.2.3.4 ~all"
i połączenie ci przychodzi z 5.6.7.8
wynikiem filtra będzie "softfail" i zgodnie z opcją SPF_Not_Pass email
NIE przejdzie.

example.com TXT "v=spf1 ip4:1.2.3.4 -all"
i połączenie ci przychodzi właśnie z 1.2.3.4
wynikiem filtra będzie "pass" i zgodnie z opcją SPF_Not_Pass email
przejdzie.

example.com TXT "v=spf1 ip4:1.2.3.4 -all"
i połączenie ci przychodzi z 5.6.7.8
wynikiem filtra będzie "fail" i zgodnie z opcją SPF_Not_Pass email NIE
przejdzie.

example.com TXT "v=spf1 ip4:1.2.3.4 ?all"
i połączenie ci przychodzi właśnie z 1.2.3.4
wynikiem filtra będzie "pass" i zgodnie z opcją SPF_Not_Pass email
przejdzie.

example.com TXT "v=spf1 ip4:1.2.3.4 ?all"
i połączenie ci przychodzi z 5.6.7.8
wynikiem filtra będzie (chyba) "softfail" i zgodnie z opcją SPF_Not_Pass
email NIE przejdzie.


> A czy ten Mail_From_reject to sprawdza kopertę? A czy by nie można jakoś
> sprawdzić zwykłego From albo Reply to ?
>

SPF sprawdza adresy kopertowe
DKIM + DMARC - adresy nagłówkowe

--
Pozdrawiam
Lemat

On 21.09.2020 19:07, Lemat wrote:


A brak SPF w ogóle to jak sprawdzić i odbić ?

W dniu 21.09.2020 o 20:27, KIKI pisze:
> On 21.09.2020 19:07, Lemat wrote:
>
>
> A brak SPF w ogóle to jak sprawdzić i odbić ?
>

pokombinuj z nagłówkami, przy policyd-spf-python będzie to:

postfix, header_checks

/^Authentication-Results: mail.lemat.priv.pl; spf=none/ REJECT

albo w spamassassinie dodaj score
albo zmodyfikuj skrypt policyd-spf-python

--
Pozdrawiam
Lemat

On 21.09.2020 22:00, Lemat wrote:
> W dniu 21.09.2020 o 20:27, KIKI pisze:
>> On 21.09.2020 19:07, Lemat wrote:
>>
>>
>> A brak SPF w ogóle to jak sprawdzić i odbić ?
>>
>
> pokombinuj z nagłówkami, przy policyd-spf-python będzie to:
>
> postfix, header_checks
>
> /^Authentication-Results: mail.lemat.priv.pl; spf=none/ REJECT
>
> albo w spamassassinie dodaj score
> albo zmodyfikuj skrypt policyd-spf-python
>
Teraz ma tak w postfix-policyd-spf-python:

debugLevel = 1
TestOnly = 0

HELO_reject      = SPF_Not_Pass  # Fail
Mail_From_reject = SPF_Not_Pass  # Fail
PermError_reject = True          # False
TempError_Defer  = False

skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0/104,::1
------------------------------------------------------

header_checks:
...
...
/^Subject: =?big5?/REJECT
/^okazikmail\.pl/REJECT
/^cwanylis/REJECT
/^v-send\.pl/REJECT
/^einternetmarketing\.net/REJECT
/name=[^>]*\.(bat|com|exe|dll|vbs|scr|js|jar|htm|html|ace|iso|doc|docx|xls|xlsx|eml|ini)/REJECT

/^Authentication-Results: mx.mojadomena.pl; spf=none/ REJECT

(czy ma być mój MX ??)
--------------------------------
W header_checks mogę dopisać a co z policyd-spf-python?

Nie ma tam czegoś dla nospf? Tak po prostu?

W dniu 22.09.2020 o 00:50, KIKI pisze:

> /^Authentication-Results: mx.mojadomena.pl; spf=none/ REJECT
>
> (czy ma być mój MX ??)

policyd-spf-python ma parametr Authserv_Id
i to jest to, co jest wstawiane własnie w tym miejscu
obejrzyj sobie nagłówki jakiegoś emaila, który przyjdzie do Ciebie.

> --------------------------------
> W header_checks mogę dopisać a co z policyd-spf-python?
>
> Nie ma tam czegoś dla nospf? Tak po prostu?
>
>

no ja tam nie widzę, możesz dopisać albo poprosić autora, w końcu to
open-source

--
Pozdrawiam
Lemat

On 22.09.2020 03:05, Lemat wrote:
> W dniu 22.09.2020 o 00:50, KIKI pisze:
>
>> /^Authentication-Results: mx.mojadomena.pl; spf=none/ REJECT
>>
>> (czy ma być mój MX ??)
>
> policyd-spf-python ma parametr Authserv_Id
> i to jest to, co jest wstawiane własnie w tym miejscu
> obejrzyj sobie nagłówki jakiegoś emaila, który przyjdzie do Ciebie.

Faktycznie jest "Authentication-Results" w źródłach maili. Muszę na
spokojnie pooglądać maile, może faktycznie wystarczy regułka. Szkoda, że
ten policyd-spf-python jest taki zawiły jeśli chodzi o określenia co
jest czym, a brak najważniejszego.

Jak zawsze można na Ciebie liczyć hehe, dzięki :-)
Już myślałem, że masz covida czy coś :-) A spamu z lekami na covida nie
ma, bo działa filtrowanie i co poczniesz? :-)

On 22.09.2020 03:05, Lemat wrote:
> W dniu 22.09.2020 o 00:50, KIKI pisze:
>
>> /^Authentication-Results: mx.mojadomena.pl; spf=none/ REJECT
>>
>> (czy ma być mój MX ??)
>
> policyd-spf-python ma parametr Authserv_Id
> i to jest to, co jest wstawiane własnie w tym miejscu
> obejrzyj sobie nagłówki jakiegoś emaila, który przyjdzie do Ciebie.

To nie jest do końca tak. Przejrzałem wiele maili ze spamem.

Np taki spamer:
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ipQ.38.137.52;
helo=mail.dobryleasingwyposazenia.pl;
envelope-from=l.damian@leasing-wyposazenia.pl; receiver=<UNKNOWN>

Czasem jest:
Received-SPF: None ........

Natomiast czasem nie ma w ogóle tego "Received-SPF:" i już nie wiem co
tu począć.

Na razie włączyłem pełnego DMARC-a wg. tego opisu

https://www.linuxbabe.com/mail-server/opendmarc-postfix-ubuntu

AuthservID          OpenDMARC
TrustedAuthservIDs  mail.mojadomena.tld
RejectFailures      true
RequiredHeaders     true
SPFSelfValidate     true

Zobaczymy co to da i ile false positeves ?

W dniu 26.09.2020 o 01:26, KIKI pisze:
> On 22.09.2020 03:05, Lemat wrote:
>> W dniu 22.09.2020 o 00:50, KIKI pisze:
>>
>>> /^Authentication-Results: mx.mojadomena.pl; spf=none/ REJECT
>>>
>>> (czy ma być mój MX ??)
>>
>> policyd-spf-python ma parametr Authserv_Id
>> i to jest to, co jest wstawiane własnie w tym miejscu
>> obejrzyj sobie nagłówki jakiegoś emaila, który przyjdzie do Ciebie.
>
> To nie jest do końca tak. Przejrzałem wiele maili ze spamem.
>
> Np taki spamer:
> Received-SPF: Pass (mailfrom) identity=mailfrom; client-ipQ.38.137.52;
> helo=mail.dobryleasingwyposazenia.pl;
> envelope-from=l.damian@leasing-wyposazenia.pl; receiver=<UNKNOWN>
>
> Czasem jest:
> Received-SPF: None ........
>
> Natomiast czasem nie ma w ogóle tego "Received-SPF:" i już nie wiem co
> tu począć.
>

za to jaki masz nagłówek - czy Authentication-Results czy Received-SPF
odpowiada parametr:

Header_Type = AR

--
Pozdrawiam
Lemat

On 26.09.2020 10:25, Lemat wrote:

> za to jaki masz nagłówek - czy Authentication-Results czy Received-SPF
> odpowiada parametr:
>
> Header_Type = AR

Mnie to trapi, bo chyba zrezygnuję z włączenia dobijania kompletnego
DMARC, bo mi nie dojdzie połowa maili. Patrzę sobie, a mało kto ma
dobrze skonfigurowany serwer. Podpisy DKIM ma połowa.