Rspamd DNS Sicherung: Unterschied zwischen den Versionen

Version vom 18. März 2026, 18:48 Uhr

DNS-Publikation des SPF-Eintrags für it213.int

Damit Rspamd die Identität des Mailservers mail.it213.int verifizieren kann, muss der Administrator der Zone it213.int den folgenden Resource Record (RR) publizieren.

SPF-Eintrag in der Zonendatei

Der Eintrag wird als TXT-Record direkt für die Hauptdomain hinterlegt.

Datei: /var/cache/bind/db.it213.int (Beispielhaft)

it213.int.   IN   TXT   "v=spf1 mx -all"

Bedeutung der Parameter

v=spf1: Identifiziert den Record als SPF-Version 1.
mx: Erlaubt allen Hostnames, die als MX-Record für it213.int definiert sind, den Versand.
-all: Hard-Fail. Alle anderen Server, die nicht im MX stehen, werden als unberechtigt abgelehnt.

Verifikation nach der Publikation

Nach dem Reload des Nameservers muss der Eintrag von extern (z.B. durch Teilnehmer it201.int) abfragbar sein. Erst dann vergibt Rspamd ein positives Scoring.

Abfrage durchführen:

dig it213.int TXT

Erwartetes Ergebnis:

;; ANSWER SECTION:
it213.int.  3600  IN  TXT  "v=spf1 mx -all"

Der MX-Bezug

Damit das "mx" im SPF-Eintrag funktioniert, muss der Mailserver mail.it213.int zwingend als MX hinterlegt sein:

it213.int.   IN   MX   10 mail.it213.int.
mail.it213.int.  IN   A    <DEINE_IP>

Fazit zur Identität

Autorisierung: Durch "v=spf1 mx -all" erklärt it213.int den Host mail.it213.int offiziell zum legitimen Absender.
Sicherheit: Fremde Server, die versuchen unter @it213.int zu senden, werden von Rspamd mit dem Symbol R_SPF_FAIL markiert.

@@ Zeile 1: / Zeile 1: @@
-== Identitätsprüfung und DNS-Eigensicherung am Beispiel it213.int ==
+== DNS-Publikation des SPF-Eintrags für it213.int ==
-In der Umgebung it213.int ist die korrekte DNS-Konfiguration Voraussetzung für den Mail-Empfang. Die Verantwortung für die SPF-Einträge liegt vollständig beim Administrator der jeweiligen Zone.
+Damit Rspamd die Identität des Mailservers mail.it213.int verifizieren kann, muss der Administrator der Zone it213.int den folgenden Resource Record (RR) publizieren.
-=== Manuelle Erstellung der SPF-Einträge für it213.int ===
+=== SPF-Eintrag in der Zonendatei ===
-Der Teilnehmer muss in seiner Zone einen TXT-Record anlegen, der den Host mail.it213.int legitimiert. Ohne diesen Eintrag wird Rspamd jede Mail dieser Domain mit einem Malus-Score belegen.
+Der Eintrag wird als TXT-Record direkt für die Hauptdomain hinterlegt.
-# Ziel: Festlegen, dass nur der eigene Mailserver für @it213.int senden darf.
+Datei: /var/cache/bind/db.it213.int (Beispielhaft)
-# Server-FQDN: mail.it213.int
+<pre>
-# Eintragstyp: TXT-Record
+it213.int.   IN   TXT   "v=spf1 mx -all"
-# Inhalt: v=spf1 mx -all
+</pre>
-Durch den Parameter 'mx' im SPF-Eintrag erlaubt der Administrator automatisch allen Hosts, die als MX-Record für it213.int eingetragen sind, den Mailversand.
+=== Bedeutung der Parameter ===
-=== Validierung der Teilnehmer-Einträge im Terminal ===
+;v=spf1: Identifiziert den Record als SPF-Version 1.
+;mx: Erlaubt allen Hostnames, die als MX-Record für it213.int definiert sind, den Versand.
+;-all: Hard-Fail. Alle anderen Server, die nicht im MX stehen, werden als unberechtigt abgelehnt.
-Nachdem der Eintrag in der Zone it213.int publiziert wurde, muss die Korrektheit geprüft werden. Rspamd verlässt sich auf die externe Auflösung; ist der DNS-Eintrag fehlerhaft oder fehlt die DNSSEC-Signatur, schlägt die Validierung fehl.
-# Abfrage des SPF-Eintrags für die Domäne:
-* dig it213.int TXT
-# Abfrage des MX-Records (Zielhost für SPF):
+=== Verifikation nach der Publikation ===
-* dig it213.int MX
+Nach dem Reload des Nameservers muss der Eintrag von extern (z.B. durch Teilnehmer it201.int) abfragbar sein. Erst dann vergibt Rspamd ein positives Scoring.
+# Abfrage durchführen:
+* dig it213.int TXT
-=== Überprüfung der DNSSEC-Kette für mail.it213.int ===
+# Erwartetes Ergebnis:
+<pre>
-Da die Zone it213.int DNSSEC-geschützt ist, prüft Rspamd nicht nur den Inhalt des Records, sondern auch dessen digitale Integrität. Ein fehlerhafter DNSSEC-Status führt zur Einstufung als Spam, da die Identität des Absenders als manipuliert gilt.
+;; ANSWER SECTION:
+it213.int.  3600  IN  TXT  "v=spf1 mx -all"
-# Prüfung des DNSSEC-Status der Zone:
+</pre>
-* delv @localhost it213.int TXT
-=== Analyse der Ergebnisse in der Rspamd-Oberfläche ===
+=== Der MX-Bezug ===
-Sobald Mails von mail.it213.int versendet werden, wertet der empfangende Rspamd-Dienst die manuell gesetzten Einträge aus. In der Historie (Port 11334) müssen folgende Symbole erscheinen:
+Damit das "mx" im SPF-Eintrag funktioniert, muss der Mailserver mail.it213.int zwingend als MX hinterlegt sein:
-* '''R_SPF_ALLOW:''' Der SPF-Eintrag für it213.int wurde korrekt aufgelöst und die IP passt zum MX.
+<pre>
-* '''R_SPF_FAIL:''' Der Eintrag fehlt in der Zone it213.int oder die IP des Servers mail.it213.int ist nicht autorisiert.
+it213.int.   IN   MX   10 mail.it213.int.
-* '''DNSSEC_BOUND:''' Die DNS-Antwort wurde erfolgreich kryptografisch verifiziert.
+mail.it213.int.  IN   A    <DEINE_IP>
+</pre>
-== Fazit zur Eigenverwaltung ==
+== Fazit zur Identität ==
-;Eigenleistung: Der Filter von it213.int funktioniert nur so gut, wie der Administrator seine DNS-Zone pflegt.
+;Autorisierung: Durch "v=spf1 mx -all" erklärt it213.int den Host mail.it213.int offiziell zum legitimen Absender.
-;Konsequenz: Ein fehlender SPF-Eintrag für it213.int führt zwangsläufig zu einem höheren Score bei allen anderen Teilnehmern (it201 bis it212).
+;Sicherheit: Fremde Server, die versuchen unter @it213.int zu senden, werden von Rspamd mit dem Symbol '''R_SPF_FAIL''' markiert.
-;Kontrolle: Der Teilnehmer nutzt das Rspamd-Webinterface, um die Auswirkungen seiner DNS-Konfiguration auf das globale Scoring zu überwachen.