User Tools

Site Tools


Sidebar

No ai soldati italiani all'estero

Indice

Eventi

Energia

Rigacci.Org usa energia elettrica da fonti rinnovabili, grazie al gruppo di acquisto Merci Dolci.

Merci Dolci - Energia Rinnovabile

Software libero!

Petizione contro i brevetti software

Faunalia: Soluzioni GIS professionali

Debian

www.gnu.org www.kernel.org

doc:appunti:linux:sa:postfix_spf_check

SPF check con Postfix

Installare il pacchetto Debian postfix-policyd-spf-python. Secondo quanto riportato dal sito openspf.org l'implementazione Python è tecnicamente superiore a quella Perl.

Il file di configurazione del programma è /etc/postfix-policyd-spf-python/policyd-spf.conf.

debugLevel = 2
TestOnly = 1
HELO_reject = Fail
Mail_From_reject = Fail
PermError_reject = False
TempError_Defer = False
skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0/104,::1

L'impostazione predefinita prevede il log su /var/log/syslog.

Attenzione al parametro TestOnly che fa esattamente il contrario di quello che si intuisce! Impostando TestOnly = 1 significa che il filtro è attivo (restituisce a Postfix il codice dell'azione da intraprendere), invece con un valore zero si ha solo il log del risultato, ma nessuna azione conseguente.

Attenzione che il reload o il restart del servizio dopo aver cambiato configurazione non esiste, in quanto il processo viene avviato da Postfix solo quando necessario (vedi più avanti la configurazione). Pertanto in caso di variazione della configurazione è necessario fare il restart di Postfix.

Manual Testing

Per verificare il funzionamento del programma con la configurazione corrente è sufficiente eseguire da linea di comando policyd-spf, sullo standard input si forniscono alcune righe che caratterizzano un messaggio di posta, seguite da una riga vuota:

request=smtpd_access_policy
protocol_state=RCPT
protocol_name=ESMTP
helo_name=testhost.rigacci.org
queue_id=8045F2AB23
instance=12345.6789
sender=test.sender@rigacci.org
recipient=test.recipient@rigacci.org
client_address=192.222.46.168
client_name=testhost.rigacci.org

il programma risponde con qualcosa del tipo:

action=550 5.7.23 Message rejected due to: SPF fail - not authorized.
    Please see http://www.openspf.net/Why?s=mfrom;id=...

L'invocazione da riga di comando risponde ad una sola richiesta.

IPv6 e record AAAA

Nei record SPF è possibile indicare direttamente anche degli indirizzi IPv6, usando la sintassi ip6:2a01:4f8:d16:1355::2. Più comodo è indicare il nome di un host, con la sintassi a:testhost.rigacci.org si includono automaticamente tutti i record di tipo A (IPv4) e di tipo AAAA (IPv6) associati al nome. Nel test del paragrafo precedente è possibile specificare un indirizzo IPv6 come client_address.

Problema recort TXT ed helo_name

ATTENZIONE! Per motivi non chiari il programma policyd-spf richiede il record TXT di helo_name prima di richidere quello del dominio del sender. Se tale record esiste, viene utilizzato il suo contenuto SPF per controllare l'indirizzo IP di client_address.

Per questo motivo - quando si configura un server di posta - è opportuno controllare l'helo_name: se ad esso è associato un record TXT, questo deve includere l'indirizzo IP che verrà usato come client_address.

Ad ogni modo - dopo che policyd-spf ha controllato la corrispondenza fra SPF di helo_name e client_address - verrà fatto anche il controllo tra SPF del dominio di sender e il client_address.

Configurazione di Postfix

Anzitutto si configura Postfix in modo che attivi uno Unix socket collegato al programma policyd-spf; nel file di configurazione /etc/postfix/master.cf si deve aggiungere:

policyd-spf  unix  -       n       n       -       0       spawn
  user=policyd-spf argv=/usr/bin/policyd-spf

Il socket viene creato in /var/spool/postfix/private/policyd-spf. Si deve quindi configurare Postfix per aggiungere il controllo SPF alle smtpd_recipient_restrictions, di solito subito dopo il reject_unauth_destination. Nel file /etc/postfix/main.cf si imposta:

smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        ...
        reject_unauth_destination,
        check_policy_service unix:private/policyd-spf

Il programma policyd-spf non viene eseguito immediatamente, ma quando necessario; cioè quando viene ricevuto un messaggio da controllare. In quel momento risulterà un processo a nome dell'utente postfix del tipo:

spawn -z -n policyd-spf -t unix user=policyd-spf argv=/usr/bin/policyd-spf

inoltre a nome dell'utente policyd risulta:

/usr/bin/python3 /usr/bin/policyd-spf

Web References

doc/appunti/linux/sa/postfix_spf_check.txt · Last modified: 2019/07/12 18:19 by niccolo