On Fri, 2007-12-21 at 10:19 +0000, Krzysztof Oledzki wrote:
> > > Wiesz moze jak masz na serwerze 100 kont to dla Ciebie nie jest to problem
> > > polskiego internetu.
> > > Natomiast jak masz po 10000 kont na kilku serwerach - problem sie zaczyna bo
> > > jesli bym chcial blokowac IP tych co rozsylaja te emaile to bym chyba 90%
> > > klas polskich musial zablokowac.
> > > Bo niestety z przykroscia musze stwierdzic ze przynajmniej to co do mnie
> > > lecialo to wiekszosc bylo z polskich puli adresowych jak TPNET itp..
> >
> > > host -t txt onet.pl
> > onet.pl descriptive text "fax: +48 12 2774002"
> > onet.pl descriptive text "tel: +48 12 2774000"
> > onet.pl descriptive text "v=spf1 ip4:213.180.128.0/19 -all"
> > ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> > onet.pl descriptive text "ul. G.Zapolskiej 44\; 30-126 Krakow, Poland"
> >
> > Rozwinąć?
>
> Tak, np. temat forwardów.

Rozważania teoretyczne:

SPF jest również sposobem na ochronę tożsamości ( "Tylko maile
wychodzące z naszego serwera są mailami od nas. Reszta to fałszywka!
Nie przyjmuj ich - ktoś się pod nas podszywa!" ).

Onet nie życzy sobie ( -all ), by przyjmować maile z serwerów innych,
niż mające adresy z ich puli. Dlaczego chcesz robić wbrew właścicielowi
domeny, któremu ciężko odmówić prawa do decydowania o tym, do czego
jego domena może być wykorzystywana?

W tym konkretnym przypadku to onet zdecydował, że forwardy mają nie
działać. Mógł zrobić ~all, zrobił -all. "As you wish, sire".

Rozważania praktyczne:

1.
Serwisy realizujące forwardy mają możliwość realizowania usługi
forwardowania maili w sposób zgodny z logiką świata coraz bardziej
opanowywanego przez SPF - SRS.

Pomyślmy - czy maila, który został przepuszczony przez systemy
ochronne systemu pocztowego, w którym użytkownik ma adres
pocztowy z forwardem, nie można uznać za dostarczonego pod ten
konkretny adres i czy w tym momencie nie dochodzi do zainicjowania
zupełnie nowej przesyłki - od siebie samego "stamtąd" do
siebie samego tam, gdzie wskazuje forward?

2.
Epoka MUA, które umiały komunikować się z jednym kontem dawno się
skończyła. Nie ma przeszkód, by MUA odbierało maile bezpośrednio z
n lokalizacji ( sprawiając, że forward z tamtej lokalizacji staje
się zbędny ), o ile dana lokalizacja nie jest typowym serwisem
zorientowanym na forwardowanie maili, nie dającym lokalnych skrzynek
( np @irc.pl ) - w takim wypadku patrz pkt 1.

3.
Wyjątki z SPF. Nikt nie zabrania zrobić w swoim systemie wyjątków
( oczywiście per adres docelowy ). Użytkownik wie przecież, czy
gdzieś na świecie nie ma forwardu. Można tym sterować lepiej niż
zerojedynkowo - można z kontem skojarzyć dodatkowy alias stworzony
specjalnie na potrzeby słabo chronionego systemu zdalnego robiącego
forwardy "po staremu", tylko dla tego aliasu ochronę SPF wyłączyć
i tenże adres w systemie zdalnym wpisać w forwardzie.

--
Mirosław "Psyborg" Jaworski
GCS/IT d- s+:+ a C++$ UBI++++$ P+++$ L- E--- W++(+++)$ N++ o+ K- w-- O-
M- V- PS+ PE++ Y+ PGP t 5? X+ R++ !tv b++(+++) DI++ D+ G e* h++ r+++ y?
"Thesaurus: ancient reptile with an excellent vocabulary"