Rspamd DNS Sicherung: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== Identitätsprüfung und DNS-Eigensicherung am Beispiel it213.int == In der Umgebung it213.int ist die korrekte DNS-Konfiguration Voraussetzung für den Mai…“)
 
(Die Seite wurde geleert.)
Markierung: Geleert
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Identitätsprüfung und DNS-Eigensicherung am Beispiel it213.int ==
 
  
In der Umgebung it213.int ist die korrekte DNS-Konfiguration Voraussetzung für den Mail-Empfang. Die Verantwortung für die SPF-Einträge liegt vollständig beim Administrator der jeweiligen Zone.
 
 
=== Manuelle Erstellung der SPF-Einträge für it213.int ===
 
 
Der Teilnehmer muss in seiner Zone einen TXT-Record anlegen, der den Host mail.it213.int legitimiert. Ohne diesen Eintrag wird Rspamd jede Mail dieser Domain mit einem Malus-Score belegen.
 
 
# Ziel: Festlegen, dass nur der eigene Mailserver für @it213.int senden darf.
 
# Server-FQDN: mail.it213.int
 
# Eintragstyp: TXT-Record
 
# Inhalt: v=spf1 mx -all
 
 
Durch den Parameter 'mx' im SPF-Eintrag erlaubt der Administrator automatisch allen Hosts, die als MX-Record für it213.int eingetragen sind, den Mailversand.
 
 
=== Validierung der Teilnehmer-Einträge im Terminal ===
 
 
Nachdem der Eintrag in der Zone it213.int publiziert wurde, muss die Korrektheit geprüft werden. Rspamd verlässt sich auf die externe Auflösung; ist der DNS-Eintrag fehlerhaft oder fehlt die DNSSEC-Signatur, schlägt die Validierung fehl.
 
 
# Abfrage des SPF-Eintrags für die Domäne:
 
* dig it213.int TXT
 
 
# Abfrage des MX-Records (Zielhost für SPF):
 
* dig it213.int MX
 
 
 
 
=== Überprüfung der DNSSEC-Kette für mail.it213.int ===
 
 
Da die Zone it213.int DNSSEC-geschützt ist, prüft Rspamd nicht nur den Inhalt des Records, sondern auch dessen digitale Integrität. Ein fehlerhafter DNSSEC-Status führt zur Einstufung als Spam, da die Identität des Absenders als manipuliert gilt.
 
 
# Prüfung des DNSSEC-Status der Zone:
 
* delv @localhost it213.int TXT
 
 
=== Analyse der Ergebnisse in der Rspamd-Oberfläche ===
 
 
Sobald Mails von mail.it213.int versendet werden, wertet der empfangende Rspamd-Dienst die manuell gesetzten Einträge aus. In der Historie (Port 11334) müssen folgende Symbole erscheinen:
 
 
* '''R_SPF_ALLOW:''' Der SPF-Eintrag für it213.int wurde korrekt aufgelöst und die IP passt zum MX.
 
* '''R_SPF_FAIL:''' Der Eintrag fehlt in der Zone it213.int oder die IP des Servers mail.it213.int ist nicht autorisiert.
 
* '''DNSSEC_BOUND:''' Die DNS-Antwort wurde erfolgreich kryptografisch verifiziert.
 
 
== Fazit zur Eigenverwaltung ==
 
 
;Eigenleistung: Der Filter von it213.int funktioniert nur so gut, wie der Administrator seine DNS-Zone pflegt.
 
;Konsequenz: Ein fehlender SPF-Eintrag für it213.int führt zwangsläufig zu einem höheren Score bei allen anderen Teilnehmern (it201 bis it212).
 
;Kontrolle: Der Teilnehmer nutzt das Rspamd-Webinterface, um die Auswirkungen seiner DNS-Konfiguration auf das globale Scoring zu überwachen.
 

Aktuelle Version vom 18. März 2026, 18:56 Uhr

Abgerufen von „http://wiki.ixheim.de/index.php?title=Rspamd_DNS_Sicherung&oldid=67518