[Internet-e-architetture-di-rete] su sender policy framework

sugo sugo at olografix.org
Tue Feb 25 19:59:37 CET 2020 

Il 2020-02-25 14:48 Antonio Prado via Internet-e-architetture-di-rete ha 
scritto:
> 1. qual e' la dimostrazione che la rete 216.239.32.0/19 possa inviare
> e-mail per conto di twitter.com?

# dig +short txt twitter.com
"adobe-idp-site-verification=a2ff8fc40c434d1d6f02f68b0b1a683e400572ab8c1f2c180c71c3d985b9270a"
"v=spf1 ip4:199.16.156.0/22 ip4:199.59.148.0/22 ip4:8.25.194.0/23 
ip4:8.25.196.0/23 ip4:204.92.114.203 ip4:204.92.114.204/31 
ip4:54.156.255.69 include:_spf.google.com 
include:_thirdparty.twitter.com -all"
"google-site-verification=h6dJIv0HXjLOkGAotLAWEzvoi9SxqP4vjpx98vrCvvQ"
"google-site-verification=TNhAkfLUeIbzzzSgPNxS5aEkKMf3aUcpPmCK1_kmIvU"
"traction-guest=6882b04e-4188-4ff9-8bb4-bff5a3d358e6"
"MS=BEE202D20C326867290BDEFA2DDDF4594B5D6860"

verifico la configurazione SPF di _spf.google.com:

# dig +short txt _spf.google.com
"v=spf1 include:_netblocks.google.com include:_netblocks2.google.com 
include:_netblocks3.google.com ~all"

verifico la configurazione SPF di _netblocks.google.com e trovo la 
network cercata:

# dig +short txt _netblocks.google.com
"v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 
ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 
ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 
ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"


> 2. un server il cui indirizzo inverso e' il seguente
> 1.5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.2.0.0.1.1.0.0.0.5.0.1.0.0.2.ip6.arpa.
> 1.5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.2.0.0.1.1.0.0.0.5.0.1.0.0.2.ip6.arpa.
> perche' puo' legittimamente inviare e-mail per arin.net?

L'indirizzo IPv6 corrispondente è:

2001:500:110:201::51, che però non sembra incluso esplicitamente nella 
configurazione SPF:

# dig +short txt arin.net
"v=spf1 mx ip4:199.71.0.111 ip6:2001:500:31::111 ip4:199.212.0.110 
ip6:2001:500:13::110 ip4:192.136.136.27 ip6:2001:500:110:201::27 
ip4:199.43.0.25 ip6:2001:500:4:201::25 ~all"

forse si intende "legittimamente" per via della presenza di "~all" alla 
fine?


> 3. il servizio di mailchimp e' autorizzato a inviare posta per
> afrinic.net? se si', perche'?

Mailchimp dichiara le reti sorgenti da cui spedisce in questo URL:

https://mailchimp.com/about/ips/

le 3 reti elencate risultano presenti facendo la seguente ricerca 
ricorsiva, simile all'esercizio 1:

# dig +short txt afrinic.net
"v=spf1 mx a ip4:196.216.2.0/23 ip4:196.192.112.0/23 
ip4:196.192.114.0/23 ip6:2001:42d0:0::/48 ip6:2001:43f8:90::/48 
ip6:2001:42d0:bee0::/44 include:servers.mcsv.net -all"

# dig +short txt servers.mcsv.net
"v=spf1 ip4:205.201.128.0/20 ip4:198.2.128.0/18 ip4:148.105.8.0/21 ?all"

(per la verità, si evince a livello di SPF, la rete autorizzata è 
148.105.8.0/21, mentre Mailchimp dichiara 148.105.8.0/16... ci 
potrebbero essere problemi di consegna!)



> 4. come e' coinvolta amazon nel servizio di posta per gen.xyz?

Non ho trovati "legami":

# dig +short mx gen.xyz
1 aspmx.l.google.com.
10 aspmx2.googlemail.com.
10 aspmx3.googlemail.com.
5 alt1.aspmx.l.google.com.
5 alt2.aspmx.l.google.com.

# dig +short txt gen.xyz
"google-site-verification=vIG6eBUrm1urJARPbr6qrhgQNpwzuEAIizIFR8tbC-4"
"v=spf1 include:_spf.google.com include:servers.mcsv.net 
include:mailgun.org include:_spf.topdns.com ~all"

E tra gli IP non si trovano riferimenti ad Amazon

Francesco

More information about the Internet-e-architetture-di-rete mailing list