Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 4126 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP proxy: How to disable SPF?

Michael Jenner
Regarding SMTP proxy.

We are using Astaro v7.302 (auto update) and SPF filtering is causing lots of rejects. The installation uses SMTP proxy, but not including spam nor virus protection - license doesn't include these parts.

Problem is that we want to disable SPF, but it's greyed out because license doesn't include Anti-Spam. 

Getting something for free - like extra functionality is usually ok ;o) - but in this case it causes lots of rejects of known good addresses, and more importantly of important customers. Reason seem to be that we are using an ISP supplied mail filter and that it seem to tamper with the IP addresses causing SPF rejects. 

It is clearly a bug in Astaro (v7.302), but waiting for fix isn't acceptable to company. Is it possible to disable SPF - e.g. by doing some ASCII configuration file tricks? Alternative we are considering buying a license so that we can disable the SPF filtering ... but come on Astaro!!! Another alternative might be to downgrade, but again ... not a very attractive solution.

Suggestions are very welcomed!

Thanks,
Michael


This thread was automatically locked due to age.
Parents
  • 0
    Hello Michael,

    If you could PM me login info and allow access from burlington.astaro .com I will take a look for you.
  • 0 in reply to Jack Daniel
    Hello Jack,

    Thanks for the offer, but it's against our policy to allow that kind of access without a written agreement.

    What would you look for, that you can't see in your local version of Astaro?

    Configuration is pretty simple: Under Mail Security -> SMTP -> we have chosen "Simple Mode" -> Domains set to our domain -> Route by static host list -> host list: Internal_SMTP which points to a intranet SMTP server, Recipient Verification is "With callout".  Anti-Virus: everything greyed out, Anti-Spam: everything greyed out. Exceptions list: none. Advanced -> we are using a smart host the ISP SMTP server for outbound mail.

    It is critical that we disable SPF checking - we are loosing valid emails every day, in the range of 8-10% of all emails - from potential customers.

    Hints and suggestions are highly appreciated! Its urgent.
    Michael
  • 0 in reply to Michael Jenner
    Sorry, I assumed you had a support agreement with us.  I'll do some digging and see what I can find.

    If you aren't using email security, do you need to use the proxy?  Disabling the proxy will disable SPF.
  • 0 in reply to Jack Daniel
    That is a good question.

    I was (maybe mistakenly) thinking that this way we didn't have to worry so much about keeping the local SMTP server updated, since everything is going thru a secure updated SMTP proxy server. The more layers of security the better, but maybe this isn't another layer?

    Looking forward to seeing what you can dig find out!

    Thanks
    Michael
  • 0 in reply to Michael Jenner
    I found a quick solution to issue (large qty of SPF rejects): 

    Disable the SMTP proxy, and use generic proxy + SNAT SMTP traffic forwarding.

    Not the preferred solution, but it prevents the Astaro SMTP proxy from doing SPF rejects, and also from adding virus scan messages "this mail is scanned with ..." when it's not really scanning anything (according to license).

    Thanks,
    Michael
Reply
  • 0 in reply to Michael Jenner
    I found a quick solution to issue (large qty of SPF rejects): 

    Disable the SMTP proxy, and use generic proxy + SNAT SMTP traffic forwarding.

    Not the preferred solution, but it prevents the Astaro SMTP proxy from doing SPF rejects, and also from adding virus scan messages "this mail is scanned with ..." when it's not really scanning anything (according to license).

    Thanks,
    Michael
Children
  • 0 in reply to Michael Jenner
    I agree that there is a problem.  I just examined several unlikely SPF rejects at a client site.  Here's an example of one I found in their SMTP Log:

    9/27/08 8:48 72.232.191.38 citylightsgrill.com Rejected: SPF (SPF check failed)

    Their SPF record: citylightsgrill.com 1 TXT v=spf1 a mx -all 

    One of their 16 MX records is: citylightsgrill.com 1 MX preference: 10  exchange: mx7.citylightsgrill.com

    Pinging mx7.citylightsgrill.com shows it's 72.232.191.38. [SIZE="1"]I notice that the RDNS record for the IP is incorrect, but that's not the test that failed![/SIZE] 
     
    Rather than try to figure this out, I'm immediately disabling spf checking where ever I know it's in use.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    BAlfson,
    Thanks for the confirmation of the issue!

    To whom it may concern at Astaro:
    Do you have an idea of when we can expect a fix to this? Is there a quick work-around? Install a demo of the mail-filtering license and disable SPF or? 

    Thanks,
    Michael
  • 0 in reply to Michael Jenner
    Some domains seem to be overdoing it on MX records. Unfortunately, the libspf2 is a bit paranoid:

    #define SPF_DEFAULT_MAX_DNS_MX          5     /* DoS limit on MX records      */

    We'll raise that limit.
Cookie Information Banner