SPF Prüfung - während check-content oder check-rcpt?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
nn4l
Posts: 172
Joined: 2002-06-19 07:06

SPF Prüfung - während check-content oder check-rcpt?

Post by nn4l » 2006-11-04 14:38

Ich nutze eine auf Vexim basierende Exim-Konfiguration, die SPF unterstützt. Das funktioniert auch soweit, in der Default Konfiguration steht folgende Regel in der Datei vexim-acl-check-content.conf:

Code: Select all

  deny  hosts           = ! +relay_from_hosts
        !acl            = spf_from_acl
        message         = Your sender is not permitted (read spf.pobox.com)
Diese Regel wird abgearbeitet, nachdem die Email von exim empfangen wurde, zeitgleich mit Virencheck und SpamAssassin.

Es müsste auch möglich sein, diese Regel schon während des SMTP-Dialogs abzuarbeiten, indem man sie in vexim-acl-check-rcpt.conf einträgt. Falls SPF feststellt, dass die Email nicht vom richtigen Server kommt, ist die Situation ja im Grunde die gleiche, als wenn der Server in eine DNS Blacklist eingetragen wäre. Das hätte den Vorteil, dass der Absender der Email ggf. eine Fehlermeldung bekommt, man ist da rechtlich gesehen auf der sicheren Seite.

Was würdet ihr empfehlen - den check lassen, wo er ist oder in vexim-acl-check-rcpt.conf übernehmen?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: SPF Prüfung - während check-content oder check-rcpt?

Post by dodolin » 2006-11-06 00:30

SPF basiert auf dem eindeutigen Tripel: Absender-IP, Env-From und RCPT-TO. Jetzt denke mal nach und überlege, was du in folgendem Fall tust:

HELO Absender-IP
MAIL FROM Absender
RCPT TO Empfänger1
RCPT TO Empfänger2
RCPT TO Empfänger3
DATA

nn4l
Posts: 172
Joined: 2002-06-19 07:06

Re: SPF Prüfung - während check-content oder check-rcpt?

Post by nn4l » 2006-11-06 09:57

Laut http://new.openspf.org/Introduction wird die envelope sender address überprüft, nicht die RCPT-TO address.

So wie ich das verstanden habe, prüft SPF
* ob die Domain einen SPF Record hat
* wenn ja, ob die Absender IP mit dem SPF Record übereinstimmt.

Da eine Email zwar mehrere Empfänger (auch in verschiedenen Domains), aber nur einen Absender haben kann, sollte der Test auch schon während der Annahme der Email (also in vexim-acl-check-rcpt.conf) funktionieren.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: SPF Prüfung - während check-content oder check-rcpt?

Post by dodolin » 2006-11-08 00:43

Ups, ich hatte SPF mit Greylisting verwechselt. Nehme alles zurück und behaupte das Gegenteil, sorry.