Re: Re: SPF и собственные домены

Vladimir A. Butenko wrote:
> >
> >Если в "mail from" фигурирует один из собственных доменов CGP, то
> >проверка по SPF не осуществляется, даже явный "-all" не действует.
> >Почему?
>
> А если бы действовал - то как бы Ваш пользователь Вася из Нижнего Волочка
> смог бы что-либо отправить через Ваш сервер? Васин IP в ваш SPF никак не
Авторизовался бы и отправил. Естественно, у прошедших SMTP authentication SPF проверять не надо, как не проверяется он у пришедших с client IPs.

> включен, а Return-path у него - в Вашем домене.
>
> >"Force AUTH" включать не предлагать. Включалось бы оно в свойствах
> >домена, а не глобально - тогда другое дело.
>
> Вся суть SPF в том, что каждый сервер "отвечает за базар", если он исходит
> от его домена. А вот то, что от имени его домена посылает действительно его
> собственный юзер (да еще именно тот, который прописан в Return-Path) -
> задача сервера, которую он должен решать сам, без SPF. При помощи Force
> AUTH?
>
> А что мешает-то включить Force AUTH? 30-летней давности клиент, который до
> сих пор не умеет AUTH-иться?
А вот что мешает, цитирую документацию: Note: use the Force AUTH option carefully. Some users may use different mail relays to submit their messages with their CommuniGate Pro Account names as the message Return-Paths. If this option is enabled and those messages are directed to your Server, they will be rejected, because mail relay servers are not able to authenticate the senders on your server.

Так оно и происходит, что Вася шлет через релей Нижневолочковского телекома. В некоторых доменах мы можем себе позволить принять от чужого релея письмо с нашим from, а в некоторых не можем. Если бы Force AUTH можно было в некоторых доменах включить, а в некоторых выключить - то вопрос бы не возник. Я подумал, что с SPF можно гибче сделать - ан нет.

-- 
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN