Yahoo não usa SPF

[Guzpido Krush]

Acabei de me dar conta de que o Yahoo não usa SPF record. Eles fazem isso para empurrar o DomainKeys?
Ando recebendo uns spams que dão helo yahoo.com.br e achei que o SPF ia ajudar, ledo engano.

Alguma sugestão que não envolva instalar DomainKeys?

[mmachado]

Você pode tentar forçar nos DNSs consultados pelos seus servidores de correio registros SPF "forjados" para o domínio da Yahoo. Só que você vai precisar ficar de olho para o caso de mudarem CIDR, MX ou qualquer outra informação que você resolva fixar no registro TXT.

[]s, MM

[Guzpido Krush]

hmmmm sim sim sim boa idéia, FRITZ

vou experrrrrimentarrrrr em minha laborrratórrrria :)

[Guzpido Krush]

então, nesse mesmo dia, de madrugada eu resolvi o problema abordando ele de forma mais genérica...

só para constar o que eu fiz foi fazer o próprio postfix checar o domínio comparando com o from: address.
criei uma classe hosts e uma lista de acesso, se as duas listas batem a mensagem passa se não ele rejeita
dessa forma eu consigo rejeitar endereços forjados, mas eu preciso saber de antemão quais são os endereços aparentemente válidos que serão usados pelo spammer. Isso não é totalmente eficaz. Pensei em fazer umas regexp mas achei que isso poderia sobrecarregar a maquina. Aí como essa medida reduziu consideravelmente o numero de spams, fiquei satisfeito.
No entanto alguém tem uma sugestão para tornar a eliminação de endereços forjados mais eficaz?

[mmachado]

criei uma classe hosts e uma lista de acesso, se as duas listas batem a mensagem passa se não ele rejeita

Não entendi. Você tá comparando o from do envelope com o reverso do ip?

[]s, MM

[Guzpido Krush]

Código:

smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/webmail_access
smtpd_restriction_classes = from_webmail_host
from_webmail_host = check_client_access hash:/etc/postfix/webmail_hosts,
                        check_client_access regexp:/etc/postfix/reject_webmail,
                        reject

exemplo webmail_access

Código:

foobar.com from_webmail_host

exemplo webmail_hosts

Código:

foobar.com OK

exemplo reject_webmail

Código:

/./ 554 REJECT mail not sent from matching domain

reduziu bastante o numero de spams, pois fiz aquela lista sabiamente. mas esse esquema tende a brechas óbvias

[gurdz]

É verdade. O Yahoo não usa SPF, uma vez que pretende empurrar o DomainKeys e mais uma opção da qual faz parte: CertifiedEmail [http://www.certifiedemail.net/].

O que ele fez foi simplesmente verificar se o reverso do IP que entregou a mensagem bate com o domínio do From. Aconselho começar o domínio com ponto, assim:

.domain.com OK

Desta forma pega todos os subdomínios do Yahoo.

Usar regexp pode ser lento, mas só em excesso. Aconselho inclusive usar PCRE, que já é nativo nas últimas versões de Postfix.

[]s,

Gustav Meirinho
Gustav 3.1 beta

Não perca a promoção do Blog Gustav.com.br! veja o vídeo: YouTube - Promoção Gustav.com.br

[Guzpido Krush]

O que eu não entendo é pq o postfix não tem uma opção dessas, de realizar este check.
Queria que ele comparesse o reverso com o envelope from de todos os dominios, nao só os que estão listados.

ou pensando bem
isso é uma péssima idéia... se um servidor tem virtual domains, isso vai dar pobrema