Mail Gateway Techniken

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

SPF-Check (Sender Policy Framework)

  • SPF legt fest welche Mailserver berechtigt sind Mails für eine Domain zu versenden.
  • Der Empfänger prüft beim Eingang ob der sendende Server in der SPF-Liste der Absenderdomain steht.
  • Ist der Server nicht berechtigt schlägt der SPF-Check fehl.
  • SPF schützt vor Absender-Fälschung (Spoofing).

Beispiel DNS-Eintrag: 

it2XX.int. IN TXT "v=spf1 mx a:mail-gw.it2XX.int ~all"

DKIM-Validierung (DomainKeys Identified Mail)

  • DKIM signiert ausgehende Mails kryptografisch mit einem privaten Schlüssel.
  • Der Empfänger prüft die Signatur anhand des öffentlichen Schlüssels im DNS.
  • Wurde die Mail unterwegs verändert schlägt die Prüfung fehl.
  • DKIM schützt vor Manipulation und beweist die Herkunft der Mail.

Beispiel DNS-Eintrag: 

mail._domainkey.it2XX.int. IN TXT "v=DKIM1; k=rsa; p=MIIBIjAN..."

DMARC-Policy

  • DMARC verbindet SPF und DKIM und legt fest was bei Fehlschlag passiert.
  • Der Domaininhaber definiert eine Policy: none, quarantine oder reject.
  • DMARC ermöglicht außerdem Reporting – der Empfänger schickt Berichte zurück.
  • DMARC schützt vor Phishing und gibt dem Domaininhaber Kontrolle über seine Domain.

Beispiel DNS-Eintrag: 

_dmarc.it2XX.int. IN TXT "v=DMARC1; p=none; rua=mailto:postmaster@it2XX.int"

Spam-Erkennung

  • Rspamd analysiert den Inhalt jeder Mail anhand heuristischer Regeln.
  • Typische Spam-Merkmale sind bestimmte Wörter, Phrasen, Formatierungen oder fehlende Header.
  • Der GTUBE-String ist ein standardisierter Teststring um Spam-Erkennung zu prüfen.
  • Jede Regel gibt Punkte – der Gesamtscore entscheidet über die Aktion.

GTUBE-Teststring: 

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

URL-Analyse

  • Rspamd prüft alle Links in einer Mail gegen bekannte Blacklists.
  • Schädliche, phishing-verdächtige oder irreführende URLs erhöhen den Score.
  • Auch verkürzte URLs oder Weiterleitungen werden analysiert.

RBL-Abfragen (Real-Time Blackhole Lists)

  • RBLs sind öffentliche Datenbanken mit bekannten Spam-IPs und -Domains.
  • Rspamd fragt diese Listen in Echtzeit ab wenn eine Mail eingeht.
  • Ist die Absender-IP auf einer RBL gelistet erhöht sich der Score deutlich.
  • Bekannte RBLs sind z.B. Spamhaus, SORBS oder Barracuda.

Attachment-Prüfung (ClamAV)

  • ClamAV ist ein Open-Source Virenscanner.
  • Rspamd übergibt jeden Anhang an ClamAV zur Prüfung.
  • Erkennt ClamAV einen Virus wird das Symbol CLAM_VIRUS gesetzt und die Mail abgelehnt.
  • Der EICAR-String ist ein standardisierter Teststring um Virenscanner zu prüfen.

EICAR-Teststring: 

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Abgerufen von „http://wiki.ixheim.de/index.php?title=Mail_Gateway_Techniken&oldid=70778