Rspamd DNS Sicherung: Unterschied zwischen den Versionen

Version vom 18. März 2026, 18:53 Uhr

Identitätsprüfung durch DNS-Validierung

Die Sicherheit des Mail-Systems it213.int basiert auf der Verifikation der Absenderidentität. Rspamd nutzt hierfür die DNS-Infrastruktur, um zu prüfen, ob ein sendender Server autorisiert ist.

Die DNS-Grundlage in der Zone it213.int

Damit andere Server (it201 bis it212) die Mails von mail.it213.int akzeptieren, muss der Administrator eine eindeutige Vollmacht im DNS publizieren. Ohne diesen Eintrag bleibt jede Prüfung durch Rspamd ergebnislos.

Eintrag in der Zonendatei (it213.int):

it213.int.   IN   TXT   "v=spf1 mx -all"

Bedeutung für den Filter:

mx: Alle Server, die als MX für it213.int im DNS stehen (mail.it213.int), sind vertrauenswürdig.
-all: Jeder andere Server, der behauptet für it213.int zu senden, ist ein Fälscher.

Die Rspamd-Konfiguration zur Validierung

Die reine Existenz des DNS-Eintrags schützt noch nicht. Rspamd muss aktiv angewiesen werden, diese Daten bei jeder eingehenden Mail abzufragen und zu bewerten.

Aktivierung des SPF-Moduls

Datei: /etc/rspamd/local.d/spf.conf

# Erzwingt die Prüfung der DNS-Identität
enabled = true;
# Verhindert, dass lokale IP-Adressen (Schulnetz) fälschlich blockiert werden
ignore_hosts = "127.0.0.1, 192.168.0.0/16";

Definition der Bewertung (Scoring)

Hier wandelt Rspamd das DNS-Ergebnis in eine mathematische Entscheidung um. Diese Werte bestimmen, ob eine Mail später im Junk-Ordner landet.

Datei: /etc/rspamd/local.d/scores.inc

symbols {
    "R_SPF_ALLOW" {
        score = -1.0;
        description = "DNS-Identität bestätigt (Bonus)";
    }
    "R_SPF_FAIL" {
        score = 3.5;
        description = "Identitätsfälschung erkannt (Malus)";
    }
}

Der operative Datenfluss

Der Prozess der Identitätsprüfung folgt einer festen Kette, die im Rspamd-Log (Journal) kontrolliert werden kann:

Anfrage: Ein fremder Server liefert eine Mail für @it213.int ein.
DNS-Check: Rspamd sendet eine Query an den Nameserver von it213.int und fragt den TXT-Record ab.
Abgleich: Rspamd vergleicht die IP des Senders mit dem 'mx' aus dem SPF-Eintrag.
Resultat: Bei einer Diskrepanz setzt Rspamd das Symbol R_SPF_FAIL.

Verifikation im Live-System

Die Teilnehmer prüfen die Wirksamkeit ihrer DNS- und Rspamd-Konfiguration durch die Analyse der Header einer empfangenen Mail oder direkt im Log:

Befehl: journalctl -u rspamd -f | grep "SPF"

Fazit zur Identitätsprüfung

DNS-Pflicht: Ohne den TXT-Eintrag in der Zone it213.int gibt es keine Vertrauensgrundlage.
Rspamd-Pflicht: Ohne die Konfiguration in spf.conf und scores.inc bleibt der DNS-Eintrag eine parataktische Information ohne Auswirkung auf den Spam-Filter.
Sicherheit: Erst die Kopplung beider Systeme ermöglicht ein automatisiertes Reject bei Identitätsdiebstahl.

@@ Zeile 1: / Zeile 1: @@
-== DNS-Publikation des SPF-Eintrags für it213.int ==
+== Identitätsprüfung durch DNS-Validierung ==
-Damit Rspamd die Identität des Mailservers mail.it213.int verifizieren kann, muss der Administrator der Zone it213.int den folgenden Resource Record (RR) publizieren.
+Die Sicherheit des Mail-Systems it213.int basiert auf der Verifikation der Absenderidentität. Rspamd nutzt hierfür die DNS-Infrastruktur, um zu prüfen, ob ein sendender Server autorisiert ist.
-=== SPF-Eintrag in der Zonendatei ===
+=== Die DNS-Grundlage in der Zone it213.int ===
-Der Eintrag wird als TXT-Record direkt für die Hauptdomain hinterlegt.
+Damit andere Server (it201 bis it212) die Mails von mail.it213.int akzeptieren, muss der Administrator eine eindeutige Vollmacht im DNS publizieren. Ohne diesen Eintrag bleibt jede Prüfung durch Rspamd ergebnislos.
-Datei: /var/cache/bind/db.it213.int (Beispielhaft)
+# Eintrag in der Zonendatei (it213.int):
 <pre>
 it213.int.   IN   TXT   "v=spf1 mx -all"
 </pre>
-=== Bedeutung der Parameter ===
+# Bedeutung für den Filter:
+* '''mx:''' Alle Server, die als MX für it213.int im DNS stehen (mail.it213.int), sind vertrauenswürdig.
+* '''-all:''' Jeder andere Server, der behauptet für it213.int zu senden, ist ein Fälscher.
-;v=spf1: Identifiziert den Record als SPF-Version 1.
-;mx: Erlaubt allen Hostnames, die als MX-Record für it213.int definiert sind, den Versand.
-;-all: Hard-Fail. Alle anderen Server, die nicht im MX stehen, werden als unberechtigt abgelehnt.
+=== Die Rspamd-Konfiguration zur Validierung ===
-=== Verifikation nach der Publikation ===
+Die reine Existenz des DNS-Eintrags schützt noch nicht. Rspamd muss aktiv angewiesen werden, diese Daten bei jeder eingehenden Mail abzufragen und zu bewerten.
-Nach dem Reload des Nameservers muss der Eintrag von extern (z.B. durch Teilnehmer it201.int) abfragbar sein. Erst dann vergibt Rspamd ein positives Scoring.
+==== Aktivierung des SPF-Moduls ====
+Datei: /etc/rspamd/local.d/spf.conf
+<pre>
+# Erzwingt die Prüfung der DNS-Identität
+enabled = true;
+# Verhindert, dass lokale IP-Adressen (Schulnetz) fälschlich blockiert werden
+ignore_hosts = "127.0.0.1, 192.168.0.0/16";
+</pre>
-# Abfrage durchführen:
+==== Definition der Bewertung (Scoring) ====
-* dig it213.int TXT
+Hier wandelt Rspamd das DNS-Ergebnis in eine mathematische Entscheidung um. Diese Werte bestimmen, ob eine Mail später im Junk-Ordner landet.
-# Erwartetes Ergebnis:
+Datei: /etc/rspamd/local.d/scores.inc
 <pre>
-;; ANSWER SECTION:
+symbols {
-it213.int.  3600  IN  TXT  "v=spf1 mx -all"
+    "R_SPF_ALLOW" {
+        score = -1.0;
+        description = "DNS-Identität bestätigt (Bonus)";
+    }
+    "R_SPF_FAIL" {
+        score = 3.5;
+        description = "Identitätsfälschung erkannt (Malus)";
+    }
+}
 </pre>
-=== Der MX-Bezug ===
+=== Der operative Datenfluss ===
+Der Prozess der Identitätsprüfung folgt einer festen Kette, die im Rspamd-Log (Journal) kontrolliert werden kann:
+# '''Anfrage:''' Ein fremder Server liefert eine Mail für @it213.int ein.
+# '''DNS-Check:''' Rspamd sendet eine Query an den Nameserver von it213.int und fragt den TXT-Record ab.
+# '''Abgleich:''' Rspamd vergleicht die IP des Senders mit dem 'mx' aus dem SPF-Eintrag.
+# '''Resultat:''' Bei einer Diskrepanz setzt Rspamd das Symbol '''R_SPF_FAIL'''.
+=== Verifikation im Live-System ===
+Die Teilnehmer prüfen die Wirksamkeit ihrer DNS- und Rspamd-Konfiguration durch die Analyse der Header einer empfangenen Mail oder direkt im Log:
+* Befehl: journalctl -u rspamd -f | grep "SPF"
-Damit das "mx" im SPF-Eintrag funktioniert, muss der Mailserver mail.it213.int zwingend als MX hinterlegt sein:
-<pre>
-it213.int.   IN   MX   10 mail.it213.int.
-mail.it213.int.  IN   A    <DEINE_IP>
-</pre>
-== Fazit zur Identität ==
+== Fazit zur Identitätsprüfung ==
-;Autorisierung: Durch "v=spf1 mx -all" erklärt it213.int den Host mail.it213.int offiziell zum legitimen Absender.
+;DNS-Pflicht: Ohne den TXT-Eintrag in der Zone it213.int gibt es keine Vertrauensgrundlage.
-;Sicherheit: Fremde Server, die versuchen unter @it213.int zu senden, werden von Rspamd mit dem Symbol '''R_SPF_FAIL''' markiert.
+;Rspamd-Pflicht: Ohne die Konfiguration in spf.conf und scores.inc bleibt der DNS-Eintrag eine parataktische Information ohne Auswirkung auf den Spam-Filter.
+;Sicherheit: Erst die Kopplung beider Systeme ermöglicht ein automatisiertes Reject bei Identitätsdiebstahl.