Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 4510 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SPF with greylisting problem

GrahamHollis
I have two ASL systems. One at home and one at work.

My home system at YYYYYY.com below has an SPF record in the DNS.

My work system at XXXXXXX.com below has an MX priority 10 record. Our ISP provides a backup mailserver at ZZZZZZZ.net below at priority 20 in case the local circuit goes down. This then relays to the MX 10 when the circuit is re-established.

What I have found is that some relays (ASL being one of them) will immediately send mail to the next level, 20 in this case, when they get a temporary reject due to greylisting. I don't know if this is RFC legal or not, but in any event it causes problems with SPF.

The two exim log records below show the first delivery attempt from my home to work system along with the greylist temporary reject. Two seconds later my backup MX try's to send the same mail and gets a permanent reject as its not allowed to send mail for YYYYYY.com as per my SPF record.

2004:12:04-13:04:20 (none) exim[18693]: 2004-12-04 13:04:20 H=adsl-99-999-99-999.dsl.xxxxxx.xxxxxxx.net (mail.YYYYYY.com) [99.999.99.999] F= temporarily rejected RCPT : Please try again

2004:12:04-13:04:22 (none) exim[18694]: 2004-12-04 13:04:22 H=front2.mail.ZZZZZZZ.net (fe.mail.ZZZZZZZ.net) [88.88.88.88] F= rejected RCPT : 88.88.88.88 is not allowed to send mail from this address or use this HELO string

Is a problem with my setup or is it a limitation of having SPF and greylisting activated together?

Trench


This thread was automatically locked due to age.
Parents
  • 0
    What you need to do is to add your secondary MX server to your SPF records.  Why don't you post your actual domains so that we can actually tell what's going on?
  • 0 in reply to drees
    That would only help if my secondary MX was sending mail on behalf of my domain which it is not. It is forwarding mail originating from another domain. I think there is enough information in the posting to see what is going on.

    YYYYYY.com is the sending domain
    XXXXXX.com is my receiving domain
    ZZZZZZ.net is my ISP's backup forwarder.

    Z received from Y
    Checked Y's SPF record and passed it
    Added the receiver line
    Forwarded to X
    X rejected it as "Z not allowed to send as Y"

    My question is why as the receiver= line should have allowed X to evaluate an SPF pass?

    Trench
  • 0 in reply to GrahamHollis
    i used this line in my zonefile and it works:

    ;-----------------------------------------------------------------------
    ; Spamprotection with SPF (spf.pobox.com)
    ;-----------------------------------------------------------------------
    mydomain.de. IN TXT "v=spf1 mx -all redirect=spf.pobox.com"
    ;-----------------------------------------------------------------------

    iicc both mx are included with this config.
  • 0 in reply to synopex
    synopex,

    you really use '-all', at this early stage of SPF I personally wouldn't be that hard and use '~all' (softfail).

    @ Trench: I agree many bulk mailers doesn't seem to use the backup MX - but believe me Spammers learn fast  

    Greetings
    cyclops
  • 0 in reply to cyclops
    yes, its hard, but it must be! [;)]
    its not a company domain, only myselfs for testing and playing with this feature.
Reply Children
No Data
Cookie Information Banner