Después de un mes de arduo trabajo, previa información a nuestros clientes, contestando las dudas y cuestiones de éstos, personalizando registros para gente que tiene el servicio de correo externalizado…etc, por fin se ha activado SPF para 25000 dominios alojados en Hostalia.
Esto servirá como medida de protección, en parte, contra la falsificación de envíos de correo electrónico por personas ajenas que se hacen pasar como remitentes de estos dominios. También para frenar los mensajes de rebote de servidores de correo que han recibido mensajes falsificados.
Esperemos también que esto dé un pequeño empujón para que más empresas y organizaciones se lancen a publicar sus registros SPF :-)
Buenas,
Interesante blog,
Hace unos días ha aumentado el numero de sapam de mis dominios. ¿sabes a que se puede deber?
¿Tienes algún manual donde explique como configurar correctamente el SPF en Plesk?
mi blog: http://maruru.com
Hola Jordi,
pues respecto al aumento de spam puede ser debido a muchas cosas…nuevos mensajes que no están reflejados en tus reglas, que dichas reglas se quedan obsoletas…etc. Deberás analizar dichos mensajes y ver porqué no son marcados o filtrados.
Respecto a Plesk, no sé si te refieres a añadir un registro SPF al dominio (que se haría desde la sección de ajustes DNS del dominio) o que se compruebe por cada correo que llegue (que se haría desde la sección de correo de «Servidor»).
Un saludo!
Y sino es mucho preguntar ¿por cuál implementación habéis apostado?
Suponiendo que utilicéis Postfix como MTA (que espero que así sea…) hay varias opciones; por ejemplo postfix-policyd-spf-perl/python son MUY fáciles de implementar, pero no sé cómo rendirán de bien en un sistema realmente cargado (por el tema de ser lenguages interpretados). A priori me fiaría más de algo escrito en C cómo policyd-spf-fs…
¿Cuál ha sido la opción adoptada?
Hola «Aprendiz»,
la implementación que tenemos es de chequeos SPF a nivel de análisis de contenidos (aunque la noticia es la inclusión del registro en los dominios, el chequeo está desde hace mucho tiempo), es decir, una vez aceptado el correo, se cogen las cabeceras y a partir de ellas se comprueba si el dominio emisor tiene registro SPF y si el servidor origen no lo cumple, el correo es marcado.
Respecto a soluciones a nivel SMTP, yo apostaría también por policyd-spf-fs ya que las implementaciones tanto en Python como en Perl, a priori, deberían ser más lentas y dada la inmensa cantidad de correo que recibimos podría ser contraproducente. Pero bueno, habrá que hacer el estudio oportuno el día que se vaya a poner.
Un saludo!
Interesante… ¿pero no sería mejor a nivel SMTP? Todo eso (en recursos) que te ahorras ¿no?
Hola de nuevo,
la gran mayoría de los mensajes de spam son rechazados por RBLs (públicas y privadas), por lo que el chequeo SPF no supone gran carga dada la poca cantidad (en comparación con el total, claro) de mensajes que pasan la «prueba» de las RBLs. Tanto en SMTP como a posteriori, en realidad, es una consulta DNS y poco más…
Además, de esos mensajes que no son rechazados por RBLs solo tienen SPF el 10% de los dominios desde los cuales recibimos correo y de ese 10%, el 80% fallan en la comprobación (FAIL, SOFTFAIL o NEUTRAL). Por lo tanto, no se notaría demasiado (en cuanto a reducción de carga) si se hacen los chequeos SPF en SMTP.
También el tema de SRS (http://www.openspf.org/SRS) y que hay muchos usuarios que hacen mal las cosas (mandan mensajes desde máquinas no publicadas en el SPF del dominio), echa un poco para atrás.
No obstante, es una medida a implantar en un futuro próximo y en cuanto SPF se vaya extendiendo más.
Un saludo!
Hola
Alvaro, ¿que formato habeis elegido para el SPF para los dominios alojados en sistemas plesk que comparten la misma IP, que tienen el mx como mail.dominio.com en local (no externalizado) y que envian y reciben desde esa misma IP compatida?
Estoy intentando encontrar un formato siguiendo los pasos de openspft.org y el wirard de Hotmail de sfs para este tipo de caso y se me dan tres posibilidades:
1) Colocar la IP compartida del servidor en cada fichero SPF de cada dominio:
– v=spf1 a mx ip4:IP-COMPARTIDA ?all
2) Colocar la IP compartida y nombre del mx del dominio:
v=spf1 mx ip4:XXX.XXX.XXX.XXX mx:mail.YYYYYY.YYY ?all
3) Colocar lo que genera el propio plesk en la plantilla por defecto, es decir, el nombre del host:
v=spf1 a mx ptr a:nombredelhost.com ?all
He visto en algun sitio que al colocar la opción 3) Hotmail bloqueaba a emails de dominios por no tener concordancia el nombre del dominio con el hostname.
¿Que opción os parece la más adecuada para este caso que supongo que será el más usado?
Hotmail me tiene frito con un servidor y lo tienen bloqueado ya casi un mes…
UN saludo
Oscar
Los formatos pueden ser variados y todos ellos correctos, no tienes porqué seguir una opción en concreto. Simplemente tienen que cumplir que se incluya la IP desde donde salen los correos de dicho dominio.
Cualquiera de los 3 formatos que indicas, en condiciones normales, deberían funcionarte sin problemas. Eso sí, yo cambiaría el «?all» por «~all» cuando realices las pruebas y pases al «-all» cuando las termines y compruebes que todo funciona bien.
Un saludo,
Álvaro.
En el articulo:
http://www.innovation-station.net/archives/2007/03/29/hotmail-and-my-spf-nightmare
Describe el problema que le surgio al colocar el hostname de su servidor en vez del domini, parece que Hotmail lo bloqueaba, de aquí mi duda.
Probaré y os cuento.
Umm según entiendo en el artículo, comenta como poniendo SPF a su dominio solucionó los problemas de entrega con Hotmail.
Supongo que te refieres a lo que dice de que el hostname del servidor de correo que envía los mensajes es distinto al nombre de su dominio y que eso le traía problemas con Hotmail. Luego dice:
«Fortunately, this is where the SPF record steps in to clear matters up.»
No obstante, son muchos los dominios que entregan correo a través de servidores que no tienen que ver con su nombre; no he tenido nunca problemas en ese sentido y no creo que tenga mucho que ver, la verdad…
Pingback: Postfix con DKIM y múltiples dominios - www.alvaromarin.comwww.alvaromarin.com