Rspamd DNS Sicherung

Aus Xinux Wiki
Version vom 18. März 2026, 18:46 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== Identitätsprüfung und DNS-Eigensicherung am Beispiel it213.int == In der Umgebung it213.int ist die korrekte DNS-Konfiguration Voraussetzung für den Mai…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Identitätsprüfung und DNS-Eigensicherung am Beispiel it213.int

In der Umgebung it213.int ist die korrekte DNS-Konfiguration Voraussetzung für den Mail-Empfang. Die Verantwortung für die SPF-Einträge liegt vollständig beim Administrator der jeweiligen Zone.

Manuelle Erstellung der SPF-Einträge für it213.int

Der Teilnehmer muss in seiner Zone einen TXT-Record anlegen, der den Host mail.it213.int legitimiert. Ohne diesen Eintrag wird Rspamd jede Mail dieser Domain mit einem Malus-Score belegen.

  1. Ziel: Festlegen, dass nur der eigene Mailserver für @it213.int senden darf.
  2. Server-FQDN: mail.it213.int
  3. Eintragstyp: TXT-Record
  4. Inhalt: v=spf1 mx -all

Durch den Parameter 'mx' im SPF-Eintrag erlaubt der Administrator automatisch allen Hosts, die als MX-Record für it213.int eingetragen sind, den Mailversand.

Validierung der Teilnehmer-Einträge im Terminal

Nachdem der Eintrag in der Zone it213.int publiziert wurde, muss die Korrektheit geprüft werden. Rspamd verlässt sich auf die externe Auflösung; ist der DNS-Eintrag fehlerhaft oder fehlt die DNSSEC-Signatur, schlägt die Validierung fehl.

  1. Abfrage des SPF-Eintrags für die Domäne:
  • dig it213.int TXT
  1. Abfrage des MX-Records (Zielhost für SPF):
  • dig it213.int MX


Überprüfung der DNSSEC-Kette für mail.it213.int

Da die Zone it213.int DNSSEC-geschützt ist, prüft Rspamd nicht nur den Inhalt des Records, sondern auch dessen digitale Integrität. Ein fehlerhafter DNSSEC-Status führt zur Einstufung als Spam, da die Identität des Absenders als manipuliert gilt.

  1. Prüfung des DNSSEC-Status der Zone:
  • delv @localhost it213.int TXT

Analyse der Ergebnisse in der Rspamd-Oberfläche

Sobald Mails von mail.it213.int versendet werden, wertet der empfangende Rspamd-Dienst die manuell gesetzten Einträge aus. In der Historie (Port 11334) müssen folgende Symbole erscheinen:

  • R_SPF_ALLOW: Der SPF-Eintrag für it213.int wurde korrekt aufgelöst und die IP passt zum MX.
  • R_SPF_FAIL: Der Eintrag fehlt in der Zone it213.int oder die IP des Servers mail.it213.int ist nicht autorisiert.
  • DNSSEC_BOUND: Die DNS-Antwort wurde erfolgreich kryptografisch verifiziert.

Fazit zur Eigenverwaltung

Eigenleistung
Der Filter von it213.int funktioniert nur so gut, wie der Administrator seine DNS-Zone pflegt.
Konsequenz
Ein fehlender SPF-Eintrag für it213.int führt zwangsläufig zu einem höheren Score bei allen anderen Teilnehmern (it201 bis it212).
Kontrolle
Der Teilnehmer nutzt das Rspamd-Webinterface, um die Auswirkungen seiner DNS-Konfiguration auf das globale Scoring zu überwachen.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Rspamd_DNS_Sicherung&oldid=67513