2010/4/28 Federico Alberto Sayd <[email protected]> > Gorka escribió: > >> Buenas. >> >> No conozco lo suficiente de Postfix como para crear los registros SPF que >> me >> piden con seguridad (ya que estamos en producción). No me puedo permitir >> hacer pruebas. >> >> El caso es que mis correos no llegaban a algunos dominios de correo >> determinados, y tras discutir bastante con mi ISP me han mandado el >> siguiente email: >> >> --------------- >> >> Actualmente los correos salen por la IP 2xx.xxx.xxx.xxx, en cambio su >> registro RRMX informa que mail.miempresa.com usa la IP 8x.xxx.xxx.xxx; >> por >> lo que no coincide el servidor de correo marcado a nivel DNS. >> >> El PAT indica que está configurado por la 8x.xxx.xxx.xxx apuntando a la IP >> 10.0.0.5. Necesitamos se indique si tienen que coincidir los correos >> salientes con los entrantes en la IP 8x.xxx.xxx.xxx o bien si tienen que >> continuar diferenciados como hasta ahora, en función de ello realizaremos >> la >> configuración precisa a nivel DNS-NAT. >> En el caso de virtual hosting, al asumir su servidor correos de distintos >> dominios sobre una misma IP, se deben crear una resolución inversa en la >> IP >> de salida para cumplir criterios FCrDNS. Una vez se haya configurado NAT >> estático o dinámico y para solventar los problemas que implica utilizar >> una >> misma IP para varios dominios, se puede resolver creando un registro SPF >> para cada uno de los dominios. Estos registros deben ser creados por Uds. >> y >> después nos los remiten para informar a nuestro departamento de ISP de la >> resolución inversa de los mismos. >> --------------- >> >> Efectivamente tengo virtual hosting (varios dominios en mi único servidor >> postfix) >> ¿Podría alguien postear un ejemplo de cómo configurar estos registros SPF >> pongamos para los dominios: >> miempresa.com >> micurro.es >> mitrabajo.com? >> >> (Tengo el servidor de correo configurado siguiendo las instrucciones para >> Postfix + Dovecot del "ISPmail tutorial para Debian Etch" de Christoph >> Haas) >> >> Muchísimas gracias. >> Un saludo. >> >> >> >> >> >> >> > > Tienes que diferenciar dos cosas: > > 1 - Por un lado tu declaras en tu dns un registro especial llamado SPF (es > de tipo TXT en realidad) que dice qué servidores (número de ip) son los que > envían correo a nombre de tu dominio. Cuando un correo llega a cualquier > smtp y dice llegar de tu dominio (mail from: [email protected]) si ese > smtp hace comprobación spf, preguntará al dns el registro spf para " > tudominio.com" y chequeará si el servidor desde donde le llegó el correo > está listado en tu registro spf. Si está, no hay problema, lo aceptará y lo > pasará luego por cualquier otro filtrado. > > Si no está declarado en tu registro SPF pueden suceder más de una cosa, si > en tu registro SPF tu lo declaraste restrictivo (con el flag "-a"), debería > rechazarlo porque estarías indicando que los smtp de terceros solo acepten > correo de "tudominio.com" que esté listado solo en el registo SPF. > Tienes la opción de poner otros flags, que pueden indicar que quizás pueden > llegar correos legítimos de tu correo desde servidores no listados en tu > registro SPF. Ante lo cual lo más seguro es que el servidor de correo lo > deje pasar pero le agregue algunos puntos negativos en su sistema antispam. > > 2 - Por otro lado, tienes que tener en cuenta que implementar SPF en el > server DNS para tu dominio no es lo mismo que implementar SPF en tu Postfix. > Este último caso significa que le aplicas un sistema de chequeo SPF a > Postfix no solo para tu dominio sino para cualquier dominio desde el que le > llegue correo. > > Creo que en tu caso tu ISP te está pidiendo que le definas las ip de los > servidores que enviarán correo para cada uno de tus dominios. > > Saludos > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact > [email protected] > Archive: http://lists.debian.org/[email protected] > >
Aquí te puede ayudar a crear el registro: http://www.openspf.org/ -- AGD
