Discussion:
SPF records voor mails sturen via smtp.xs4all.nl ?
(te oud om op te antwoorden)
Overflow
2011-10-05 12:30:21 UTC
Permalink
Hoi,

Ik wil SPF records instellen voor mijn domein (niet gehost bij Xs4all).

Er zijn twee methoden die ik gebruik om mails te versturen:

1. Google Apps voor handmatige mail, en
2. ssmtp via smtp.xs4all.nl (met authenticatie) voor
machine-gegenereerde mail. Voor wie ssmtp niet kent: het is geen MTA
maar een MSA (
http://en.wikipedia.org/wiki/E-mail_agent_(infrastructure) ) die op de
command line mails accepteert en ze via SMTP uitstuurt.

Hoe 1 in SPF aan te geven is me duidelijk: include:_spf.google.com .

2 echter niet. Mijn vragen zijn:

a) Moet ik het IP adres van de machine met de MSA opgeven?

b) Zo nee, wat moet ik dan wel opgeven?

Met wat googlen vond ik dat wat mensen include:xs4all.nl gebruikten,
maar 'dig xs4all.nl txt' geeft niets terug, dus dat is sowieso fout.

Een smerige workaround is ptr:xs4all.nl maar ten eerste wil ik helemaal
niet alle xs4all machines autoriseren (bv. adsl lijnen) en ten tweede
hoeven niet alle Xs4all MTA's hun PTR records in xs4all.nl te eindigen
(bv. xs4all.net).

Iemand een idee?

Overflow
Mark van Dijk
2011-10-05 23:14:36 UTC
Permalink
Post by Overflow
2. ssmtp via smtp.xs4all.nl (met authenticatie) voor
machine-gegenereerde mail. Voor wie ssmtp niet kent: het is geen MTA
maar een MSA (
http://en.wikipedia.org/wiki/E-mail_agent_(infrastructure) ) die op de
command line mails accepteert en ze via SMTP uitstuurt.
Hoe 1 in SPF aan te geven is me duidelijk: include:_spf.google.com .
a) Moet ik het IP adres van de machine met de MSA opgeven?
b) Zo nee, wat moet ik dan wel opgeven?
Je moet de smtp server aan je SPF record toevoegen. Wat er gebeurt voordat
email het internet opgaat is niet relevant. Een ontvangende mailserver
die SPF gebruikt wil alleen maar weten: "mag de host met wie ik nu
verbonden ben wel email sturen voor dit domein". MSA of interne mail
routing, dat maakt niet uit. Dus in dit geval gebruik je het ip, of de
range, van de xs4all mail servers. of: mx:xs4all.nl -- die lijkt me het
slimst.

Mark
Rob
2011-10-06 08:26:10 UTC
Permalink
Post by Mark van Dijk
Je moet de smtp server aan je SPF record toevoegen. Wat er gebeurt voordat
email het internet opgaat is niet relevant. Een ontvangende mailserver
die SPF gebruikt wil alleen maar weten: "mag de host met wie ik nu
verbonden ben wel email sturen voor dit domein". MSA of interne mail
routing, dat maakt niet uit. Dus in dit geval gebruik je het ip, of de
range, van de xs4all mail servers. of: mx:xs4all.nl -- die lijkt me het
slimst.
Lijkt me helemaal niet slim!
Het is irrelevant welke servers xs4all als MX heeft ingericht.
Het gaat er om welke ze voor uitgaande mail gebruiken.
Miquel van Smoorenburg
2011-10-06 08:42:18 UTC
Permalink
Post by Rob
Post by Mark van Dijk
Je moet de smtp server aan je SPF record toevoegen. Wat er gebeurt voordat
email het internet opgaat is niet relevant. Een ontvangende mailserver
die SPF gebruikt wil alleen maar weten: "mag de host met wie ik nu
verbonden ben wel email sturen voor dit domein". MSA of interne mail
routing, dat maakt niet uit. Dus in dit geval gebruik je het ip, of de
range, van de xs4all mail servers. of: mx:xs4all.nl -- die lijkt me het
slimst.
Lijkt me helemaal niet slim!
Het is irrelevant welke servers xs4all als MX heeft ingericht.
Het gaat er om welke ze voor uitgaande mail gebruiken.
Voor uitgaande mail worden de smtp-vbr<nummer>.xs4all.nl servers
gebruikt. Die zitten momenteel in 194.109.24.0/24. De mailservers
voor inkomende mail (mx1..4) zitten ook in die range.

Dus mx:xs4all.nl/24 werkt (let op, wel met /24 erachter, om het hele
netwerk aan te geven). "Toevallig", op dit moment. Maar beter
is het om een include te gebruiken van een XS4ALL record die
aangeeft wat de uitgaande mailservers zijn. Je gebruikt dan in je
SPF record "include:spf-considered-harmful.xs4all.nl".

Weet je gelijk wat onze mail beheerders van SPF vinden ... :)

Mike.
Overflow
2011-10-06 09:57:33 UTC
Permalink
Post by Miquel van Smoorenburg
Post by Rob
Post by Mark van Dijk
Je moet de smtp server aan je SPF record toevoegen. Wat er gebeurt voordat
email het internet opgaat is niet relevant. Een ontvangende mailserver
die SPF gebruikt wil alleen maar weten: "mag de host met wie ik nu
verbonden ben wel email sturen voor dit domein". MSA of interne mail
routing, dat maakt niet uit. Dus in dit geval gebruik je het ip, of de
range, van de xs4all mail servers. of: mx:xs4all.nl -- die lijkt me het
slimst.
Lijkt me helemaal niet slim!
Het is irrelevant welke servers xs4all als MX heeft ingericht.
Het gaat er om welke ze voor uitgaande mail gebruiken.
Voor uitgaande mail worden de smtp-vbr<nummer>.xs4all.nl servers
gebruikt. Die zitten momenteel in 194.109.24.0/24. De mailservers
voor inkomende mail (mx1..4) zitten ook in die range.
Dus mx:xs4all.nl/24 werkt (let op, wel met /24 erachter, om het hele
netwerk aan te geven). "Toevallig", op dit moment. Maar beter
is het om een include te gebruiken van een XS4ALL record die
aangeeft wat de uitgaande mailservers zijn. Je gebruikt dan in je
SPF record "include:spf-considered-harmful.xs4all.nl".
Weet je gelijk wat onze mail beheerders van SPF vinden ... :)
Mike.
Ah, kijk. Dat was precies waar ik naar op zoek was. Dank.

Heheh, ik ben er zelf ook niet helemaal van overtuigd, maar Google Apps
support wil dat het aanstaat voor ze me met een spamprobleem willen helpen.

Wat is de reden dat het 'considered harmful' is? Omdat de genoemde
adressen bestookt gaan worden met pogingen om binnen te komen?

Overflow
Operator
2011-10-06 10:35:51 UTC
Permalink
Post by Overflow
Heheh, ik ben er zelf ook niet helemaal van overtuigd, maar Google Apps
support wil dat het aanstaat voor ze me met een spamprobleem willen helpen.
Wat een sukkels.
Post by Overflow
Wat is de reden dat het 'considered harmful' is?
Het maakt forwarding stuk.
Rob van der Putten
2011-10-06 12:53:09 UTC
Permalink
Moguh
Post by Operator
Wat een sukkels.
Het is in ieder geval een uitvlucht.
Post by Operator
Het maakt forwarding stuk.
Ik doe geen SPF check op hosts waar ik een forward heb. Zonder dat kan
je eigenlijk niet filteren.


Vr.Gr,
Rob
--
Wim T. Schippers for president
Loading Image...
Osiris
2011-10-06 15:36:48 UTC
Permalink
Post by Operator
Post by Overflow
Heheh, ik ben er zelf ook niet helemaal van overtuigd, maar Google Apps
support wil dat het aanstaat voor ze me met een spamprobleem willen helpen.
Wat een sukkels.
Post by Overflow
Wat is de reden dat het 'considered harmful' is?
Het maakt forwarding stuk.
Het is bij mij bekend welke servers de forwarding verzorgen voor mijn
mail en m.b.v. Postfix bouw ik vervolgens van de twee relevante
Received-headers ééntje. Alsof de forwarding server er helemaal niet
tussen heeft gezeten. :) Et voila, SPF werkt weer als een tiet.
Operator
2011-10-06 17:26:46 UTC
Permalink
Post by Osiris
Post by Operator
Post by Overflow
Heheh, ik ben er zelf ook niet helemaal van overtuigd, maar Google Apps
support wil dat het aanstaat voor ze me met een spamprobleem willen helpen.
Wat een sukkels.
Post by Overflow
Wat is de reden dat het 'considered harmful' is?
Het maakt forwarding stuk.
Het is bij mij bekend welke servers de forwarding verzorgen voor mijn
mail en m.b.v. Postfix bouw ik vervolgens van de twee relevante
Received-headers ééntje. Alsof de forwarding server er helemaal niet
tussen heeft gezeten. :) Et voila, SPF werkt weer als een tiet.
En als je gaat forwarden voor ***@club.example.com
naar club-***@mail.example.com

Hoe doe je dat dan?
Osiris
2011-10-06 21:50:43 UTC
Permalink
Post by Operator
Post by Osiris
Post by Operator
Post by Overflow
Heheh, ik ben er zelf ook niet helemaal van overtuigd, maar Google Apps
support wil dat het aanstaat voor ze me met een spamprobleem willen helpen.
Wat een sukkels.
Post by Overflow
Wat is de reden dat het 'considered harmful' is?
Het maakt forwarding stuk.
Het is bij mij bekend welke servers de forwarding verzorgen voor mijn
mail en m.b.v. Postfix bouw ik vervolgens van de twee relevante
Received-headers ééntje. Alsof de forwarding server er helemaal niet
tussen heeft gezeten. :) Et voila, SPF werkt weer als een tiet.
Hoe doe je dat dan?
Ah, tja, in mijn geval ben ik altijd een (begin- of) eindstation. Dus
diegene die de SPF-check doet. Forwarden doe ik niet aan. Of begrijp ik
je verkeerd?
Mark Huizer
2011-10-07 07:30:50 UTC
Permalink
Post by Osiris
Post by Operator
Post by Osiris
Post by Operator
Post by Overflow
Heheh, ik ben er zelf ook niet helemaal van overtuigd, maar Google Apps
support wil dat het aanstaat voor ze me met een spamprobleem willen helpen.
Wat een sukkels.
Post by Overflow
Wat is de reden dat het 'considered harmful' is?
Het maakt forwarding stuk.
Het is bij mij bekend welke servers de forwarding verzorgen voor mijn
mail en m.b.v. Postfix bouw ik vervolgens van de twee relevante
Received-headers ééntje. Alsof de forwarding server er helemaal niet
tussen heeft gezeten. :) Et voila, SPF werkt weer als een tiet.
Hoe doe je dat dan?
Ah, tja, in mijn geval ben ik altijd een (begin- of) eindstation. Dus
diegene die de SPF-check doet. Forwarden doe ik niet aan. Of begrijp ik
je verkeerd?
In jouw specifieke geval niet. Maar voor veel partijen is dat best
onhandig. ISP's bijv, waar een gebruiker zijn ***@isp.example.com graag naar
***@hetemeel.example.com laat doorsturen. En dan graag wel de afzender
intact laten :-) Daar is de ISP een tussenstation.

Mark
Operator
2011-10-07 07:47:10 UTC
Permalink
Post by Osiris
Post by Operator
Post by Osiris
Post by Operator
Post by Overflow
Wat is de reden dat het 'considered harmful' is?
Het maakt forwarding stuk.
Het is bij mij bekend welke servers de forwarding verzorgen voor mijn
mail en m.b.v. Postfix bouw ik vervolgens van de twee relevante
Received-headers ééntje. Alsof de forwarding server er helemaal niet
tussen heeft gezeten. :) Et voila, SPF werkt weer als een tiet.
Hoe doe je dat dan?
Ah, tja, in mijn geval ben ik altijd een (begin- of) eindstation. Dus
diegene die de SPF-check doet. Forwarden doe ik niet aan. Of begrijp ik
je verkeerd?
Je begrijpt me goed.
Ik ben niet het begin of eindstation.
Ik doe geen SPF-check.
Ik moet af en toe bouncen omdat het eindstation geen
mail van mij aanneemt met een afzender uit een ander domein.
Het eindstation doet de SPF-check
en het afzenderdomein beperkt de mogelijke bronnen.

Gelukkig neemt hotmail wel hotmail aan:
dsn=2.0.0, status=sent (250 mail from IP <nr> soft failed sender ID check.
Please ensure this IP is authorized to send mail on behalf of [hotmail.com])

Ze kunnen beter de SPF-check weghalen.
***@hotmail -> ***@club -> ***@hotmail moet kunnen.
Den Voldere
2011-10-07 12:46:12 UTC
Permalink
Hoi,
Je gebruikt dan in je SPF record "include:spf-considered-harmful.xs4all.nl".
Weet je gelijk wat onze mail beheerders van SPF vinden ... :)
<gewoon_nieuwsgierig>
En wat vinden ze van dkim ?
</gewoon_nieuwsgierig>

Fijn weekend.
Robert
Philip Homburg
2011-10-07 13:45:20 UTC
Permalink
Post by Den Voldere
Hoi,
Je gebruikt dan in je SPF record "include:spf-considered-harmful.xs4all.nl".
Weet je gelijk wat onze mail beheerders van SPF vinden ... :)
<gewoon_nieuwsgierig>
En wat vinden ze van dkim ?
</gewoon_nieuwsgierig>
Het begint natuurlijk met de vraag welk probleem je eigenlijk probeert op te
lossen? Ik ben nog niets tegengekomen wat de extra complexiteit rechtvaardigt.
--
That was it. Done. The faulty Monk was turned out into the desert where it
could believe what it liked, including the idea that it had been hard done
by. It was allowed to keep its horse, since horses were so cheap to make.
-- Douglas Adams in Dirk Gently's Holistic Detective Agency
Rob
2011-10-07 14:14:30 UTC
Permalink
Post by Philip Homburg
Post by Den Voldere
Hoi,
Je gebruikt dan in je SPF record "include:spf-considered-harmful.xs4all.nl".
Weet je gelijk wat onze mail beheerders van SPF vinden ... :)
<gewoon_nieuwsgierig>
En wat vinden ze van dkim ?
</gewoon_nieuwsgierig>
Het begint natuurlijk met de vraag welk probleem je eigenlijk probeert op te
lossen? Ik ben nog niets tegengekomen wat de extra complexiteit rechtvaardigt.
Mijn ervaring is dat het hebben van een (blokkerend) SPF record wel goed
helpt tegen het misbruiken van je domein als forged spam source.

En dat helpt dan weer je reputatie en scheelt je in bounces.
Miquel van Smoorenburg
2011-10-07 14:24:33 UTC
Permalink
Post by Den Voldere
Hoi,
Je gebruikt dan in je SPF record "include:spf-considered-harmful.xs4all.nl".
Weet je gelijk wat onze mail beheerders van SPF vinden ... :)
<gewoon_nieuwsgierig>
En wat vinden ze van dkim ?
</gewoon_nieuwsgierig>
Geen idee, eigenlijk.

Mike.
Rob van der Putten
2011-10-07 18:11:09 UTC
Permalink
Moguh
Post by Den Voldere
<gewoon_nieuwsgierig>
En wat vinden ze van dkim ?
</gewoon_nieuwsgierig>
Dkim zit in de data fase. Spf zit daarvoor.
SpamAssassin checkt er wel op. Voor de rest doe ik er niet aan mee.


Vr.Gr,
Rob
--
Wim T. Schippers for president
http://nl.wikipedia.org/wiki/Bestand:Universiteit_Twente_Verzonken_Torentje_van_Drienerlo.jpg
Loading...