SPF Feature Request

So, you are saying this is not an Astaro error, but a limitation/feature of SPF. And, further, the implication would be that the burden for addressing this issue falls on the service that forwards the email.

However, according to openspf.org:

"Checking SPF On Forwarded Mail
"Mail forwarding is set up by the receiver and so for forwarded mail, the border mail server (at which SPF should be checked) is the forwarder's mail server. If you check SPF on your mail server it is coming from your forwarder and not from a mail server authorized by the sending domain. Technically this is similar to checking SPF against mail relayed from your secondary MX like discussed in the previous item. Authorized forwarders should be whitelisted against SPF checks to avoid this problem."

SPF is broken by design, mostly because it leaves the forwarding problem unresolved (except by proposing stupid solutions like keeping a list of "authorized forwarders" - you won't know who of your users forwards his other email addresses). 

You can read http://david.woodhou.se/why-not-spf.html for a larger rant.

In the example I supplied earlier in this thread, there is no way to tell the Astaro not to reject mail forwarded from a specific IP, domain like alfson.org or email like Bob@Alfson.org.

You can use exceptions.

I would have to list each individual, original sender like RewardZoneCerts.BestBuy.com - that seems impractical.

You can whitelist "authorized forwarders" instead - that is exactly what the SPF designers want you to do! [:)]

So, while this might not, technically, be an Astaro error, it does render the Astaro implemtation of SPF unusable for many organizations.

SPF is unuseable in itself - our implementation is partly sane by ONLY rejecting on hard fail, assuming the senders know about SPF shortfalls and so agree to the consequences.

Tom's dead-on with his assessment here; SPF definitely has its flaws.

I certainly am less-knowledgeable than either of you guys, so I appreciate the interaction.

I'm sorry that I didn't understand where in the V7.3 SMTP Proxy one could whitelist "authorized forwarders" as opposed to original senders.  Now I understand that you meant something like the following:



So, it would appear that a best practice prior to activating spf would be to request that mail users of the Astaro-protected mail server inform the domain postmaster of any email addresses they have forwarded - correct?

Thanks - Bob

Thats right - but the rate of SPF rejects is hardly worth the hassle [:)]

Agreed.  That's one of the great things about 7.3 - the number of rejects for each test is explicit and easy to see.  The SPF check might reduce some of the load on the Astaro, but I'd guess that it's minimal since SPF-rejects account for much less than 1% of rejects.  It seems probable that anything that would fail an spf test also would fail some other tests.

I think I'll turn it off for three different installations and see if there's any reduction in the net number of rejects.  I assume this check happens after the RBL check but before all others - is that correct?

Thanks - Bob

No one noticed any more spam and none of the Astaros had any increase in CPU utilization.  My conclusion is that Astaro needs to offer SPF-checking for marketing reasons, but that SPF should not be used.

Cheers - Bob