https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Rspamd_Identit%C3%A4tspr%C3%BCfung_%28DNS-Validierung%29 2026-04-15T03:28:37Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Rspamd_Identit%C3%A4tspr%C3%BCfung_(DNS-Validierung)&diff=67519&oldid=prev 2026-03-18T18:56:50Z

<p>Die Seite wurde neu angelegt: „== Identitätsprüfung durch DNS-Validierung == Die Sicherheit des Mail-Systems it213.int basiert auf der Verifikation der Absenderidentität. Rspamd nutzt hi…“</p> <p><b>Neue Seite</b></p><div>== Identitätsprüfung durch DNS-Validierung ==<br /> <br /> Die Sicherheit des Mail-Systems it213.int basiert auf der Verifikation der Absenderidentität. Rspamd nutzt hierfür die DNS-Infrastruktur, um zu prüfen, ob ein sendender Server autorisiert ist.<br /> <br /> === DNS-Grundlage in der Zone it213.int ===<br /> <br /> Damit andere Server die Mails von mail.it213.int akzeptieren, muss der Administrator eine eindeutige Vollmacht im DNS publizieren. Ohne diesen Eintrag bleibt jede Prüfung durch Rspamd ergebnislos.<br /> <br /> Eintrag in der Zonendatei (it213.int):<br /> &lt;pre&gt;<br /> it213.int. IN TXT &quot;v=spf1 mx -all&quot;<br /> &lt;/pre&gt;<br /> <br /> Bedeutung für den Filter:<br /> * mx: Alle Server, die als MX für it213.int im DNS stehen (mail.it213.int), sind vertrauenswürdig.<br /> * -all: Jeder andere Server, der behauptet für it213.int zu senden, wird als Fälscher eingestuft.<br /> <br /> <br /> <br /> === Rspamd-Konfiguration zur Validierung ===<br /> <br /> Die reine Existenz des DNS-Eintrags schützt noch nicht. Rspamd muss aktiv angewiesen werden, diese Daten bei jeder eingehenden Mail abzufragen und zu bewerten.<br /> <br /> ==== Aktivierung des SPF-Moduls ====<br /> <br /> Datei: /etc/rspamd/local.d/spf.conf<br /> &lt;pre&gt;<br /> enabled = true;<br /> ignore_hosts = &quot;127.0.0.1, 192.168.0.0/16&quot;;<br /> &lt;/pre&gt;<br /> <br /> ==== Definition der Bewertung ====<br /> <br /> Hier wandelt Rspamd das DNS-Ergebnis in eine mathematische Entscheidung (Scoring) um. Diese Werte bestimmen, ob eine Mail später im Junk-Ordner landet.<br /> <br /> Datei: /etc/rspamd/local.d/scores.inc<br /> &lt;pre&gt;<br /> symbols {<br /> &quot;R_SPF_ALLOW&quot; {<br /> score = -1.0;<br /> description = &quot;DNS-Identität bestätigt (Bonus)&quot;;<br /> }<br /> &quot;R_SPF_FAIL&quot; {<br /> score = 3.5;<br /> description = &quot;Identitätsfälschung erkannt (Malus)&quot;;<br /> }<br /> }<br /> &lt;/pre&gt;<br /> <br /> === Operativer Datenfluss ===<br /> <br /> Der Prozess der Identitätsprüfung folgt einer festen Kette, die im Rspamd-Log kontrolliert werden kann:<br /> <br /> * Anfrage: Ein fremder Server liefert eine Mail für @it213.int ein.<br /> * DNS-Check: Rspamd sendet eine Query an den Nameserver von it213.int und fragt den TXT-Record ab.<br /> * Abgleich: Rspamd vergleicht die IP des Senders mit dem 'mx' aus dem SPF-Eintrag.<br /> * Resultat: Bei einer Diskrepanz setzt Rspamd das Symbol R_SPF_FAIL.<br /> <br /> === Verifikation im Live-System ===<br /> <br /> Die Teilnehmer prüfen die Wirksamkeit ihrer DNS- und Rspamd-Konfiguration durch die Analyse der Header einer empfangenen Mail oder direkt im Log:<br /> <br /> * Befehl: journalctl -u rspamd -f | grep &quot;SPF&quot;<br /> <br /> <br /> <br /> == Fazit zur Identitätsprüfung ==<br /> <br /> ;DNS-Pflicht: Ohne den TXT-Eintrag in der Zone it213.int gibt es keine Vertrauensgrundlage.<br /> ;Rspamd-Pflicht: Ohne die Konfiguration in der spf.conf bleibt der DNS-Eintrag ohne Auswirkung auf den Spam-Filter.<br /> ;Sicherheit: Erst die Kopplung beider Systeme ermöglicht ein automatisiertes Reject bei Identitätsdiebstahl.</div>

Thomas.will