[postfix-users] OpenDMARC und IPv6
Robert Schetterer
rs at sys4.de
Mi Sep 17 17:57:03 CEST 2014
Am 17.09.2014 um 17:10 schrieb Robert Schetterer:
> Am 17.09.2014 um 15:40 schrieb Jochen Fahrner:
>> Ich hab jetzt mal den Sourcecode von OpenDMARC etwas studiert. Im
>> Prinzip gibt es 3 Möglichkeiten für den SPF-Check:
>>
>> 1. ein externer Check eines Policy Daemon oder Milter, der sein Ergebnis
>> im Header übergibt. Laut opendmarc Mailingliste scheint so ein Header
>> aber nicht vom Postfix Policy check an den DMARC Milter übergeben zu
>> werden. Jetzt könnte man mal versuchen ob es mit einem SPF-milter
>> klappt. Kennt jemand einen guten SPF-Milter? Am besten einen der libspf2
>> benutzt, das scheint ausgereift zu sein und lässt sich gut mit spfquery
>> nachvollziehen.
>>
>> 2. interner check mit eigenen SPF-check Funktionen. Die sind offenbar
>> buggy, wie das Beispiel DHL gezeigt hat.
>>
>> 3. interner check mit libspf2. Klappt besser als 2., hat aber noch
>> Probleme mit ipv6. Was OpenDMARC da macht entspricht praktisch dem
>> Coding Beispiel von libspf2 hier: http://www.libspf2.org/docs/html/. Es
>> fehlte lediglich der Aufruf für ipv6 Adressen, den habe ich bei mir
>> eingebaut. Laut Fehlerticket soll es noch ein weiteres Problem mit HELO
>> Namen geben. Das kann aber eigentlich nur auftreten wenn eine Mail-From
>> Adresse fehlt, denn nur dann wird der HELO Name benutzt. Ich hab keine
>> Ahnung wann der Fall eintreten kann.
>
> irgendwann wird auch diese Variante sicher auftreten *g
>
>>
>> Ob 2. oder 3. genutzt wird hängt davon ab wie man es compiliert.
>> Ob 1. oder 2./3. genutzt wird hängt von der Config ab (SPFSelfValidate).
>>
>> Am zuverlässigsten erscheint mir wohl derzeit die Variante 1. mit milter
>> zu sein (falls die Header-Übergabe da klappt). Was ich hier lese hört
>> sich für Debian aber nicht so rosig an:
>> http://tanguy.ortolo.eu/blog/article103/spf-milter
>
>
> nicht schoen...
> evtl das ganze noch etwas "reifen" lassen
>
>
>
>>
>
> Best Regards
> MfG Robert Schetterer
>
evtl schaltet man milter-manager davor
nutzt eine regex condition auf den dns reverse
http://milter-manager.sourceforge.net/reference/configuration.html#configuration.applicable-condition
Ziel waere dann opendmarc nur auf die ueblichen
reverse dyn ips anzuwenden oder/und alles mit mehr als 4 punkten im
namen etc, das sollte dann
ein guter Kompromiss sein und die meisten pish mails abhalten
ohne zu viele false positives wegen falscher policies oder was auch
immer zu produzieren, ausserdem wuerde es Resourcen sparen, koennte man
auch fuer spf und dkim milter anwenden, da man auch noch amavis und/oder
spamassassin haben kann die selbst auch nochmal spf und dkim check
machen koennen sollte man evtl ein "fast" ideales Setup configurieren
koennen, auf jeden Fall waere es wohl einfach als fuer jeden Sonderfall
in jedem Milter etwas whitelisten zu muessen
Best Regards
MfG Robert Schetterer
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users