Vladimir A. Butenko wrote:
> >
> >Если в "mail from" фигурирует один из собственных доменов CGP, то
> >проверка по SPF не осуществляется, даже явный "-all" не действует.
> >Почему?
>
> А если бы действовал - то как бы Ваш пользователь Вася из Нижнего Волочка
> смог бы что-либо отправить через Ваш сервер? Васин IP в ваш SPF никак не
Авторизовался бы и отправил. Естественно, у прошедших SMTP authentication
SPF проверять не надо, как не проверяется он у пришедших с client IPs.
> включен, а Return-path у него - в Вашем домене.
>
> >"Force AUTH" включать не предлагать. Включалось бы оно в свойствах
> >домена, а не глобально - тогда другое дело.
>
> Вся суть SPF в том, что каждый сервер "отвечает за базар", если он исходит
> от его домена. А вот то, что от имени его домена посылает действительно его
> собственный юзер (да еще именно тот, который прописан в Return-Path) -
> задача сервера, которую он должен решать сам, без SPF. При помощи Force
> AUTH?
>
> А что мешает-то включить Force AUTH? 30-летней давности клиент, который до
> сих пор не умеет AUTH-иться?
А вот что мешает, цитирую документацию: Note: use the Force AUTH
option carefully. Some users may use different mail relays to submit
their messages with their CommuniGate Pro Account names as the message
Return-Paths. If this option is enabled and those messages are
directed to your Server, they will be rejected, because mail relay
servers are not able to authenticate the senders on your server.
Так оно и происходит, что Вася шлет через релей Нижневолочковского телекома. В некоторых доменах мы можем себе позволить принять от чужого релея письмо с нашим from, а в некоторых не можем. Если бы Force AUTH можно было в некоторых доменах включить, а в некоторых выключить - то вопрос бы не возник. Я подумал, что с SPF можно гибче сделать - ан нет.
-- Victor Sudakov, VAS4-RIPE, VAS47-RIPNПолучено Fri Aug 26 11:19:31 2005
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:16:49 MSK