SRS aneb vracíme se k forwardingu i když máme SPF

SPF – Sender Policy Framework. Asi každý správce mailserveru zná tuto zkratku a také ví, že efektivně zabraňuje forwardování emailů jinam, pokud daná doména má SPF záznam v DNS. Poměrně jednoduchým způsobem si ukážeme, jak forwarding opět vzkřísit.

Overview

SPF je způsob, jak zabránit jiným serverům v tom, aby mohli posílat spam a falšovat odesilatele tak, že se tváří jako by pocházel z naší domény. Jistě jste to mnohokrát zažili, že jste dostali do schránky email, kde jste v poli „Od:“ viděli, že je přímo od vás, ale zároveň vám bylo jasné, že jste takový email nikdy neposlali. Vysvětlení mohlo být dvojí. Buď někdo získal heslo k vaší schránce a nebo jednoduše použil vaší adresu, aby se jeho spam tvářil důvěryhodněji. SPF je kromě jiného záznam v DNS pro vaší doménu, kde je jasně uvedeno, z jakých serverů smí přijít email s vaší adresou. To na jedné straně velice slušně eliminuje podvržení adres a tím pádem spam, na druhé straně je to ale problém při přeposílání emailů jinam.

Příklad:
Máte firemní adresu boss@firma.tld. Tuto adresu ale nechcete využívat, protože máte i jinou, například jarda@bossak.tld. Máte tedy nastaveno přesměrování z boss@firma.tld na jarda@bossak.tld.
Máte také zákazníky, kteří s vámi komunikují, ale ti vždy píší na adresu boss@firma.tld, protože to je oficiální firemní adresa. Problém nastane ve chvíli, kdy některý ze zákazníků má nastaveno SPF. Email od něj (např. zakaznik@partner.tld) dorazí na boss@firma.tld. Server tento email přepošle na jarda@bossak.tld. Server obsluhující doménu bossak.tld se podívá do DNS a zjistí, že doména partner.tld má SPF záznam a že je v něm uvedeno, že poštu od partner.tld smí posílat jen MX server této firmy. Bohužel ale email, který dorazil, pochází ze serveru firma.tld, protože tento jej přeposlal a tak se server rozhodne email odmítnout (zde záleží na nastavení politiky SPF u zákazníka). Sender Rewriting Scheme, dále jen SRS, je způsob, jak znovu používat forwarding emailů i když má doména SPF.

Let’s punch it!

Stáhneme si SRS zdrojáky a rozbalíme je třeba do /usr/src. Pokud chceme instalovat program jinam než do /usr/local/, doporučuji otevřít soubor makefile a změnit řádek cd build && cmake .. -DCMAKE_BUILD_TYPE=Release na cd build && cmake .. -DCMAKE_BUILD_TYPE=Release -DCMAKE_INSTALL_PREFIX=/opt/postsrsd kde se SRS nainstaluje do /opt. Konfigurační soubor se ale vytvoří v /etc/default/postsrsd a init script najdete v /etc/init.d/postsrsd, pokud opět neprovedete úpravu. Mě to vyhovuje právě takto. Ještě se vytvoří soubor /etc/postsrsd.secret s vygenerovaným heslem. Je to z důvodu, aby se z postfixu nestal openrelay. Dále už jen stačí klasické make install (je potřeba mít cmake) a SRS je nainstalováno. Poté je potřeba otevřít konfigurační soubor postfixu main.cf a dopsat do něj:

sender_canonical_maps = tcp:127.0.0.1:10001
sender_canonical_classes = envelope_sender
recipient_canonical_maps = tcp:127.0.0.1:10002
recipient_canonical_classes = envelope_recipient

V souboru /etc/default/postsrsd doporučuji nastavit hodnotu SRS_DOMAIN na doménu, na kterou se bude přepisovat hodnota mfrom. V mém případě je to linuxway.cz. Tato hodnota je pak vidět v hlavičkách emailů, ale jinak pro koncového adresáta není podstatná a bez prozkoumání zdroje zprávy jí neuvidí. Nakonec je třeba zapnout postsrsd a restartnout postfix a je hotovo. Od teď bude SRS přepisovat odesílatele na hodnotu, která odpovídá příjemci před forwardingem. V našem případě tedy přijde email od zakaznik@partner.tld pro boss@firma.tld, zde se email upraví a přepošle se na jarda@bossak.tld s tím, že si server bude myslet, že pochází od boss@firma.tld. Použití SRS pro znovuzprovoznění přeposílání emailů doporučují i lidé z openspf.org jako oficiální metodu pro obejití SPF pro tyto případy.

Pokud řešíte nastavení SPF, SRS a dalších antispamových řešení na vašem mailserveru, podívejte se na můj dřívější blog s názvem Náš mailserver, náš … sluha

Happy emailing 🙂