Rspamd DNS Sicherung

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Identitätsprüfung durch DNS-Validierung

Die Sicherheit des Mail-Systems it213.int basiert auf der Verifikation der Absenderidentität. Rspamd nutzt hierfür die DNS-Infrastruktur, um zu prüfen, ob ein sendender Server autorisiert ist.

Die DNS-Grundlage in der Zone it213.int

Damit andere Server (it201 bis it212) die Mails von mail.it213.int akzeptieren, muss der Administrator eine eindeutige Vollmacht im DNS publizieren. Ohne diesen Eintrag bleibt jede Prüfung durch Rspamd ergebnislos.

  1. Eintrag in der Zonendatei (it213.int):
it213.int.   IN   TXT   "v=spf1 mx -all"
  1. Bedeutung für den Filter:
  • mx: Alle Server, die als MX für it213.int im DNS stehen (mail.it213.int), sind vertrauenswürdig.
  • -all: Jeder andere Server, der behauptet für it213.int zu senden, ist ein Fälscher.


Die Rspamd-Konfiguration zur Validierung

Die reine Existenz des DNS-Eintrags schützt noch nicht. Rspamd muss aktiv angewiesen werden, diese Daten bei jeder eingehenden Mail abzufragen und zu bewerten.

Aktivierung des SPF-Moduls

Datei: /etc/rspamd/local.d/spf.conf 

# Erzwingt die Prüfung der DNS-Identität
enabled = true;
# Verhindert, dass lokale IP-Adressen (Schulnetz) fälschlich blockiert werden
ignore_hosts = "127.0.0.1, 192.168.0.0/16";

Definition der Bewertung (Scoring)

Hier wandelt Rspamd das DNS-Ergebnis in eine mathematische Entscheidung um. Diese Werte bestimmen, ob eine Mail später im Junk-Ordner landet.

Datei: /etc/rspamd/local.d/scores.inc 

symbols {
    "R_SPF_ALLOW" {
        score = -1.0;
        description = "DNS-Identität bestätigt (Bonus)";
    }
    "R_SPF_FAIL" {
        score = 3.5;
        description = "Identitätsfälschung erkannt (Malus)";
    }
}

Der operative Datenfluss

Der Prozess der Identitätsprüfung folgt einer festen Kette, die im Rspamd-Log (Journal) kontrolliert werden kann:

  1. Anfrage: Ein fremder Server liefert eine Mail für @it213.int ein.
  2. DNS-Check: Rspamd sendet eine Query an den Nameserver von it213.int und fragt den TXT-Record ab.
  3. Abgleich: Rspamd vergleicht die IP des Senders mit dem 'mx' aus dem SPF-Eintrag.
  4. Resultat: Bei einer Diskrepanz setzt Rspamd das Symbol R_SPF_FAIL.

Verifikation im Live-System

Die Teilnehmer prüfen die Wirksamkeit ihrer DNS- und Rspamd-Konfiguration durch die Analyse der Header einer empfangenen Mail oder direkt im Log:

  • Befehl: journalctl -u rspamd -f | grep "SPF"


Fazit zur Identitätsprüfung

DNS-Pflicht
Ohne den TXT-Eintrag in der Zone it213.int gibt es keine Vertrauensgrundlage.
Rspamd-Pflicht
Ohne die Konfiguration in spf.conf und scores.inc bleibt der DNS-Eintrag eine parataktische Information ohne Auswirkung auf den Spam-Filter.
Sicherheit
Erst die Kopplung beider Systeme ermöglicht ein automatisiertes Reject bei Identitätsdiebstahl.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Rspamd_DNS_Sicherung&oldid=67515