1. spfquery

「amazon.co.jp を騙るspam」を受信している理由がSPFの動作にあることを知る。-- ToshinoriMaeno 2021-05-09 02:18:26

/var/qmail/bin/spfquery で調べていくうちに分かったことを書いておく。

SPF読み出しはtime outすることが多い。4xxで拒否が正解か。-- ToshinoriMaeno 2021-05-13 02:14:20

netqmail + spf パッチでの動作も同様におかしい。

2. dns_txt

spfquery の結果がおかしいのは dns_txt でspf (txt) レコードの取り出しができていないことだと判明した。

resolver からの返事がerrorになっている。(長いからか、他の理由か)

djbdns 付属のdnstxtと比較してみる。

うまく読み出せることもある。キャッシュはQuad9を利用している。

$ dnstxt spf1.amazon.com
v=spf1 ip4:207.171.160.0/19 ip4:87.238.80.0/21 ip4:72.21.192.0/19 ip4:194.154.193.192/27 ip4:194.7.41.152/28 ip4:212.123.28.40/32 ip4:203.81.17.0/24 ip4:178.236.10.128/26 ip4:52.94.124.0/28 ip4:99.78.197.208/28 ip4:52.119.213.144/28 -allspf2.0/pra ip4:207.171.160.0/19 ip4:87.238.80.0/21 ip4:72.21.192.0/19 ip4:194.154.193.192/27 ip4:194.7.41.152/28 ip4:212.123.28.40/32 ip4:203.81.17.0/24 ip4:178.236.10.128/26 ip4:52.94.124.0/28 ip4:99.78.197.208/28 ip4:52.119.213.144/28 -all

3. OK

% /var/qmail/bin/spfquery 8.8.8.8 spf1.amazon.com tm@m.dnsz.org -v     
result=fail
SPF records read: 
(m.dnsz.org) => v=spf1 mx -all
SPF information evaluated:  S=8.8.8.8 O=tm@m.dnsz.org C=m.dnsz.org H=spf1.amazon.com MMX=m.dnsz.org R:- 
SPF results returned: See http://m.dnsz.orgZLZ/why.html?sender=tm@m.dnsz.org&ip=8.8.8.8&receiver=localhost

% /var/qmail/bin/spfquery 8.8.8.8 spf1.amazon.com tm@spf-bma.mpme.jp -v
result=softfail
SPF records read: 
(spf-bma.mpme.jp) => v=spf1 ip4:106.186.67.0/24 ip4:106.186.92.192/26 ip4:125.29.57.64/26 ip4:106.185.82.0/23 ip4:106.185.84.0/23 ip4:106.185.96.0/22 ip4:106.185.100.0/23 ip4:18.180.53.0/24 ip4:106.184.19.0/26 ip4:165.100.253.1/32 ip4:52.196.174.242/32 ip4:3.114.39.0/32 ~all
SPF information evaluated:  S=8.8.8.8 O=tm@spf-bma.mpme.jp C=spf-bma.mpme.jp H=spf1.amazon.com MIPv4=106.186.67.0 MIPv4=106.186.92.192 MIPv4=125.29.57.64 MIPv4=106.185.82.0 MIPv4=106.185.84.0 MIPv4=106.185.96.0 MIPv4=106.185.100.0 MIPv4=18.180.53.0 MIPv4=106.184.19.0 MIPv4=165.100.253.1 MIPv4=52.196.174.242 MIPv4=3.114.39.0 R:~ 

4. bad

なぜか、読み出しにも失敗しているもよう。

% /var/qmail/bin/spfquery 8.8.8.8 spf1.amazon.com tm@spf1.amazon.com -v
result=undefined
SPF records read: 
(spf1.amazon.com) => 
SPF information evaluated:  S=8.8.8.8 O=tm@spf1.amazon.com C=spf1.amazon.com H=spf1.amazon.com 

spf1.amazon.com.        504     IN      TXT     "v=spf1 ip4:207.171.160.0/19 ip4:87.238.80.0/21 ip4:72.21.192.0/19 ip4:194.154.193.192/27 ip4:194.7.41.152/28 ip4:212.123.28.40/32 ip4:203.81.17.0/24 ip4:178.236.10.128/26 ip4:52.94.124.0/28 ip4:99.78.197.208/28 ip4:52.119.213.144/28 -all"
spf1.amazon.com.        504     IN      TXT     "spf2.0/pra ip4:207.171.160.0/19 ip4:87.238.80.0/21 ip4:72.21.192.0/19 ip4:194.154.193.192/27 ip4:194.7.41.152/28 ip4:212.123.28.40/32 ip4:203.81.17.0/24 ip4:178.236.10.128/26 ip4:52.94.124.0/28 ip4:99.78.197.208/28 ip4:52.119.213.144/28 -all"

spf2.0 が邪魔?

spf1 が先に返ると判定成功:

% /var/qmail/bin/spfquery 8.8.8.8 spf1.amazon.com tm@spf2.amazon.com -v
result=fail
SPF records read: 
(spf2.amazon.com) => v=spf1 ip4:176.32.105.0/24 ip4:176.32.127.0/24 ip4:106.50.16.0/28 ip4:205.251.233.32/32 ip4:205.251.233.36/32 ip4:72.21.217.142/32 ip4:52.95.48.152/29 ip4:52.95.49.88/29 -all
SPF information evaluated:  S=8.8.8.8 O=tm@spf2.amazon.com C=spf2.amazon.com H=spf1.amazon.com MIPv4=176.32.105.0 MIPv4=176.32.127.0 MIPv4=106.50.16.0 MIPv4=205.251.233.32 MIPv4=205.251.233.36 MIPv4=72.21.217.142 MIPv4=52.95.48.152 MIPv4=52.95.49.88 R:- 
SPF results returned: See http://spf2.amazon.comZ���yUZ/why.html?sender=tm@spf2.amazon.com&ip=8.8.8.8&receiver=localhost


CategoryDns CategoryWatch CategoryTemplate

MoinQ: s/qmail/SPF/spfquery (last edited 2021-06-12 12:42:38 by ToshinoriMaeno)