Rspamd DNS Sicherung: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 3: | Zeile 3: | ||
Die Sicherheit des Mail-Systems it213.int basiert auf der Verifikation der Absenderidentität. Rspamd nutzt hierfür die DNS-Infrastruktur, um zu prüfen, ob ein sendender Server autorisiert ist. | Die Sicherheit des Mail-Systems it213.int basiert auf der Verifikation der Absenderidentität. Rspamd nutzt hierfür die DNS-Infrastruktur, um zu prüfen, ob ein sendender Server autorisiert ist. | ||
| − | === | + | === DNS-Grundlage in der Zone it213.int === |
| − | Damit andere Server | + | Damit andere Server die Mails von mail.it213.int akzeptieren, muss der Administrator eine eindeutige Vollmacht im DNS publizieren. Ohne diesen Eintrag bleibt jede Prüfung durch Rspamd ergebnislos. |
| − | + | Eintrag in der Zonendatei (it213.int): | |
<pre> | <pre> | ||
it213.int. IN TXT "v=spf1 mx -all" | it213.int. IN TXT "v=spf1 mx -all" | ||
</pre> | </pre> | ||
| − | + | Bedeutung für den Filter: | |
| − | * | + | * mx: Alle Server, die als MX für it213.int im DNS stehen (mail.it213.int), sind vertrauenswürdig. |
| − | * | + | * -all: Jeder andere Server, der behauptet für it213.int zu senden, wird als Fälscher eingestuft. |
| − | === | + | === Rspamd-Konfiguration zur Validierung === |
Die reine Existenz des DNS-Eintrags schützt noch nicht. Rspamd muss aktiv angewiesen werden, diese Daten bei jeder eingehenden Mail abzufragen und zu bewerten. | Die reine Existenz des DNS-Eintrags schützt noch nicht. Rspamd muss aktiv angewiesen werden, diese Daten bei jeder eingehenden Mail abzufragen und zu bewerten. | ||
==== Aktivierung des SPF-Moduls ==== | ==== Aktivierung des SPF-Moduls ==== | ||
| + | |||
Datei: /etc/rspamd/local.d/spf.conf | Datei: /etc/rspamd/local.d/spf.conf | ||
<pre> | <pre> | ||
| − | |||
enabled = true; | enabled = true; | ||
| − | |||
ignore_hosts = "127.0.0.1, 192.168.0.0/16"; | ignore_hosts = "127.0.0.1, 192.168.0.0/16"; | ||
</pre> | </pre> | ||
| − | ==== Definition der Bewertung | + | ==== Definition der Bewertung ==== |
| − | Hier wandelt Rspamd das DNS-Ergebnis in eine mathematische Entscheidung um. Diese Werte bestimmen, ob eine Mail später im Junk-Ordner landet. | + | |
| + | Hier wandelt Rspamd das DNS-Ergebnis in eine mathematische Entscheidung (Scoring) um. Diese Werte bestimmen, ob eine Mail später im Junk-Ordner landet. | ||
Datei: /etc/rspamd/local.d/scores.inc | Datei: /etc/rspamd/local.d/scores.inc | ||
| Zeile 48: | Zeile 48: | ||
</pre> | </pre> | ||
| − | === | + | === Operativer Datenfluss === |
| − | Der Prozess der Identitätsprüfung folgt einer festen Kette, die im Rspamd-Log | + | Der Prozess der Identitätsprüfung folgt einer festen Kette, die im Rspamd-Log kontrolliert werden kann: |
| − | + | * Anfrage: Ein fremder Server liefert eine Mail für @it213.int ein. | |
| − | + | * DNS-Check: Rspamd sendet eine Query an den Nameserver von it213.int und fragt den TXT-Record ab. | |
| − | + | * Abgleich: Rspamd vergleicht die IP des Senders mit dem 'mx' aus dem SPF-Eintrag. | |
| − | + | * Resultat: Bei einer Diskrepanz setzt Rspamd das Symbol R_SPF_FAIL. | |
=== Verifikation im Live-System === | === Verifikation im Live-System === | ||
| Zeile 68: | Zeile 68: | ||
;DNS-Pflicht: Ohne den TXT-Eintrag in der Zone it213.int gibt es keine Vertrauensgrundlage. | ;DNS-Pflicht: Ohne den TXT-Eintrag in der Zone it213.int gibt es keine Vertrauensgrundlage. | ||
| − | ;Rspamd-Pflicht: Ohne die Konfiguration in spf.conf | + | ;Rspamd-Pflicht: Ohne die Konfiguration in der spf.conf bleibt der DNS-Eintrag ohne Auswirkung auf den Spam-Filter. |
;Sicherheit: Erst die Kopplung beider Systeme ermöglicht ein automatisiertes Reject bei Identitätsdiebstahl. | ;Sicherheit: Erst die Kopplung beider Systeme ermöglicht ein automatisiertes Reject bei Identitätsdiebstahl. | ||
Version vom 18. März 2026, 18:54 Uhr
Identitätsprüfung durch DNS-Validierung
Die Sicherheit des Mail-Systems it213.int basiert auf der Verifikation der Absenderidentität. Rspamd nutzt hierfür die DNS-Infrastruktur, um zu prüfen, ob ein sendender Server autorisiert ist.
DNS-Grundlage in der Zone it213.int
Damit andere Server die Mails von mail.it213.int akzeptieren, muss der Administrator eine eindeutige Vollmacht im DNS publizieren. Ohne diesen Eintrag bleibt jede Prüfung durch Rspamd ergebnislos.
Eintrag in der Zonendatei (it213.int):
it213.int. IN TXT "v=spf1 mx -all"
Bedeutung für den Filter:
- mx: Alle Server, die als MX für it213.int im DNS stehen (mail.it213.int), sind vertrauenswürdig.
- -all: Jeder andere Server, der behauptet für it213.int zu senden, wird als Fälscher eingestuft.
Rspamd-Konfiguration zur Validierung
Die reine Existenz des DNS-Eintrags schützt noch nicht. Rspamd muss aktiv angewiesen werden, diese Daten bei jeder eingehenden Mail abzufragen und zu bewerten.
Aktivierung des SPF-Moduls
Datei: /etc/rspamd/local.d/spf.conf
enabled = true; ignore_hosts = "127.0.0.1, 192.168.0.0/16";
Definition der Bewertung
Hier wandelt Rspamd das DNS-Ergebnis in eine mathematische Entscheidung (Scoring) um. Diese Werte bestimmen, ob eine Mail später im Junk-Ordner landet.
Datei: /etc/rspamd/local.d/scores.inc
symbols {
"R_SPF_ALLOW" {
score = -1.0;
description = "DNS-Identität bestätigt (Bonus)";
}
"R_SPF_FAIL" {
score = 3.5;
description = "Identitätsfälschung erkannt (Malus)";
}
}
Operativer Datenfluss
Der Prozess der Identitätsprüfung folgt einer festen Kette, die im Rspamd-Log kontrolliert werden kann:
- Anfrage: Ein fremder Server liefert eine Mail für @it213.int ein.
- DNS-Check: Rspamd sendet eine Query an den Nameserver von it213.int und fragt den TXT-Record ab.
- Abgleich: Rspamd vergleicht die IP des Senders mit dem 'mx' aus dem SPF-Eintrag.
- Resultat: Bei einer Diskrepanz setzt Rspamd das Symbol R_SPF_FAIL.
Verifikation im Live-System
Die Teilnehmer prüfen die Wirksamkeit ihrer DNS- und Rspamd-Konfiguration durch die Analyse der Header einer empfangenen Mail oder direkt im Log:
- Befehl: journalctl -u rspamd -f | grep "SPF"
Fazit zur Identitätsprüfung
- DNS-Pflicht
- Ohne den TXT-Eintrag in der Zone it213.int gibt es keine Vertrauensgrundlage.
- Rspamd-Pflicht
- Ohne die Konfiguration in der spf.conf bleibt der DNS-Eintrag ohne Auswirkung auf den Spam-Filter.
- Sicherheit
- Erst die Kopplung beider Systeme ermöglicht ein automatisiertes Reject bei Identitätsdiebstahl.