Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
centos:mail_c6:mta_10 [26.03.2014 14:07. ] – Doku aktualisiert: SPFmit Hilfe von smf-sps unter CentOS 6 #SPF #Centos #Postfix django | centos:mail_c6:mta_10 [22.07.2019 15:07. ] (aktuell) – Externe Bearbeitung 127.0.0.1 |
---|
====== SPF - Sender Policy Framework ====== | ====== SPF - Sender Policy Framework ====== |
{{:centos:mail_c6:spf-logo-medium.png?nolink |SPF Logo}} | {{:centos:mail_c6:spf-logo-medium.png?nolink |SPF Logo}} |
Mit Hilfe von SPF((**S**ender **P**olicy **F**rameworks)) kann definiert werden, welche Mailserver für welche Domains eMails verschickt werden (können), oder nicht, oder anders ausgedrückt, soll das Fälschen von Absender-Angaben mit Hilfe von SPF erschwert werden. Genauer gesagt schreibt das SPF fest, welcher MTA((**M**ail **T**ransport **A**gent)) abgehend für den Versandt von e-Mails einer Domain zugelassen ist. Wichtige Hinweise zu SPF findet man bei Bedarf im **[[https://www.ietf.org/rfc/rfc4408.txt|RFC 4408]]** oder auch auf der Webseite von **[[http://www.openspf.org|openspf.org]]**. | Mit Hilfe von SPF((**S**ender **P**olicy **F**rameworks)) kann definiert werden, welche Mailserver für welche Domains eMails verschickt werden (können), oder nicht, oder anders ausgedrückt, soll das Fälschen von Absender-Angaben mit Hilfe von SPF erschwert werden. Genauer gesagt schreibt das SPF fest, welcher MTA((**M**ail **T**ransport **A**gent)) abgehend für den Versandt von e-Mails einer Domain zugelassen ist. Wichtige Hinweise zu SPF findet man bei Bedarf in der überarbeiteten Version **[[https://www.ietf.org/rfc/rfc6652.txt|RFC 6652]]**((RFC 6652 aktualisiert [[https://www.ietf.org/rfc/rfc4408.txt|RFC 4408]])) oder auch auf der Webseite von **[[http://www.openspf.org|openspf.org]]**. |
| |
Mit SPF soll hauptsächlich Absenderadressfälschungen verhindert werden, nicht jedoch direkt Spam zu bekämpfen. Dieses here Ziel wirft bei genauerer Betrachtung viele Fragen auf und erzeugt bei manchen Mailserver-Betreibern nicht gerade viel Begeisterungsstürme. Probleme tauchen mit unter bei Mailumleitungen, Mailinglisten und/oder WebFormularen auf. Auch wird bei sehr konservativen SPF-Definition die Möglichkeit verhindert, eMails mit eigener Absender-eMail-Adresse über einen dritten Rechner zu versenden. Es wäre also nur möglich eMails auch über den Mail-Server zu versenden, auf dem auch das Postfach liegt! Speziell auch Beim Versand über ein z.B. WebFormular, oder eine Web-Grußkarte über einen Drittanbieter wäre dann **kein Versand** mehr möglich! | Mit SPF soll hauptsächlich Absenderadressfälschungen verhindert werden, nicht jedoch direkt Spam zu bekämpfen. Dieses here Ziel wirft bei genauerer Betrachtung viele Fragen auf und erzeugt bei manchen Mailserver-Betreibern nicht gerade viel Begeisterungsstürme. Probleme tauchen mit unter bei Mailumleitungen, Mailinglisten und/oder WebFormularen auf. Auch wird bei sehr konservativen SPF-Definition die Möglichkeit verhindert, eMails mit eigener Absender-eMail-Adresse über einen dritten Rechner zu versenden. Es wäre also nur möglich eMails auch über den Mail-Server zu versenden, auf dem auch das Postfach liegt! Speziell auch Beim Versand über ein z.B. WebFormular, oder eine Web-Grußkarte über einen Drittanbieter wäre dann **kein Versand** mehr möglich! |
* **include** Einbinden einer weiteren SPF-Abfrage. | * **include** Einbinden einer weiteren SPF-Abfrage. |
| |
In der Regel wird man bei der Definition folgenden Festlegung treffen: //**eMails werden normalerweise immer von den IP-Adressen des zuständigen Mailserver versandt, können aber auch von anderen Servern verschickt werden.**// Als SPF-Record ergibt das dann "//**v=spf1 ip4:217.91.103.190/32 mx ?all**//" im Falle des Mailservers **mx01.nausch.org** mit der IP-Adresse: **217.91.103.190** | In der Regel wird man bei der Definition folgenden Festlegung treffen: //**eMails werden normalerweise immer von den IP-Adressen des zuständigen Mailserver versandt, können aber auch von anderen Servern verschickt werden.**// Als SPF-Record ergibt das dann "//**v=spf1 mx ?all**//" im Falle des Mailservers **mx01.nausch.org**. |
| |
Wir tragen also bei unserem zuständigen DNS entsprechend die richtigen Daten ein. | Wir tragen also bei unserem zuständigen DNS entsprechend die richtigen Daten ein. |
nausch.org IN TXT "v=spf1 ip4:217.91.103.190/32 mx ?all" | nausch.org IN TXT "v=spf1 mx ?all" |
| |
Über die URL [[http://www.kitterman.com/spf/validate.html|SPF Record Testing Tools]] kann man online bei Bedarf testen, ob der SPF-Eintrag soweit richtig ist. | Über die URL [[http://www.kitterman.com/spf/validate.html|SPF Record Testing Tools]] kann man online bei Bedarf testen, ob der SPF-Eintrag soweit richtig ist. |
<WRAP round tip> \\ Auf den ersten Blick erscheint der Postfix Poliyd-Daemon **pypolicyd-spf** aus dem [[centos:epel6|EPEL-Repository]] eine leicht zu installierende und vielversprechende Möglichkeit zu sein. Betrachtet man **SPF** alleine, stimmt dies auch. | <WRAP round tip> \\ Auf den ersten Blick erscheint der Postfix Poliyd-Daemon **pypolicyd-spf** aus dem [[centos:epel6|EPEL-Repository]] eine leicht zu installierende und vielversprechende Möglichkeit zu sein. Betrachtet man **SPF** alleine, stimmt dies auch. |
| |
Möchte man aber hingegen später **[[centos:mail_c6:mta_13|DMARC]]** bei der Bewertung von **SPF __und__ DKIM** einsetzen, so weicht man besser auf den SPF-Milter **smf-spf**. | Möchte man aber hingegen später **[[centos:mail_c6:mta_13|DMARC]]** bei der Bewertung von **[[centos:mail_c6:mta_10|SPF]] __und__ [[centos:mail_c6:mta_9|DKIM]]** einsetzen, so weicht man besser auf den SPF-Milter **smf-spf**. |
| |
</WRAP> | </WRAP> |
# cd /usr/local/src/packages | # cd /usr/local/src/packages |
| |
# wget http://repository.nausch.org/public/x86_64/smf-spf-2.0.2-7.el6.x86_64.rpm | # wget http://repository.nausch.org/public/x86_64/smf-spf-2.0.4-1.el6.x86_64.rpm |
| |
Dann installieren wir das Paket. | Dann installieren wir das Paket. |
# yum localinstall smf-spf-2.0.2-7.el6.x86_64.rpm | # yum localinstall smf-spf-2.0.4-1.el6.x86_64.rpm |
| |
Altenativ können wir das Paket natürlich auch direkt von [[http://repository.nausch.org/public/|Djangos Repository]] aus installieren. | Altenativ können wir das Paket natürlich auch direkt von [[http://repository.nausch.org/public/|Djangos Repository]] aus installieren. |
# yum localinstall http://repository.nausch.org/public/x86_64/smf-spf-2.0.2-7.el6.x86_64.rpm | # yum localinstall http://repository.nausch.org/public/x86_64/smf-spf-2.0.4-1.el6.x86_64.rpm |
| |
Ein Update des Paketes geht entsprechend der Installation. | Ein Update des Paketes geht entsprechend der Installation. |
# yum localupdate http://repository.nausch.org/public/x86_64/smf-spf-2.0.2-7.el6.x86_64.rpm | # yum localupdate http://repository.nausch.org/public/x86_64/smf-spf-2.0.4-1.el6.x86_64.rpm |
| |
Was uns das Paket alles mitbringt, zeigt uns wie immer der Aufruf von **rpm -qil <paketname>** | Was uns das Paket alles mitbringt, zeigt uns wie immer der Aufruf von **rpm -qil <paketname>** |
# rpm -qil smf-spf | # rpm -qil smf-spf |
<code>Name : smf-spf Relocations: (not relocatable) | <code>Name : smf-spf Relocations: (not relocatable) |
Version : 2.0.2 Vendor: django | Version : 2.0.4 Vendor: django |
Release : 7.el6 Build Date: Wed 26 Mar 2014 01:51:44 PM CET | Release : 1.el6 Build Date: Tue 01 Apr 2014 10:39:14 PM CEST |
Install Date: Wed 26 Mar 2014 02:05:53 PM CET Build Host: vml010039.intra.nausch.org | Install Date: Tue 01 Apr 2014 10:41:43 PM CEST Build Host: vml010039.intra.nausch.org |
Group : System Environment/Daemons Source RPM: smf-spf-2.0.2-7.el6.src.rpm | Group : System Environment/Daemons Source RPM: smf-spf-2.0.4-1.el6.src.rpm |
Size : 55090 License: GPLv2+ | Size : 50591 License: GPLv2+ |
Signature : RSA/SHA1, Wed 26 Mar 2014 01:51:45 PM CET, Key ID 31b4758f7c65ab27 | Signature : (none) |
Packager : Django <django@nausch.org> | Packager : Django <django@nausch.org> |
URL : http://smfs.sourceforge.net/smf-spf.html | URL : http://smfs.sourceforge.net/smf-spf.html |
/etc/rc.d/init.d/smf-spf | /etc/rc.d/init.d/smf-spf |
/usr/sbin/smf-spf | /usr/sbin/smf-spf |
/usr/share/doc/smf-spf-2.0.2 | /usr/share/doc/smf-spf-2.0.4 |
/usr/share/doc/smf-spf-2.0.2/COPYING | /usr/share/doc/smf-spf-2.0.4/COPYING |
/usr/share/doc/smf-spf-2.0.2/ChangeLog | /usr/share/doc/smf-spf-2.0.4/ChangeLog |
/usr/share/doc/smf-spf-2.0.2/README.rpm | /usr/share/doc/smf-spf-2.0.4/README.md |
/usr/share/doc/smf-spf-2.0.2/readme | |
/var/run/smfs | /var/run/smfs |
/var/run/smfs/smf-spf.sock | /var/run/smfs/smf-spf.sock |
| |
Natürlich wird ein Fehler beim Überprüfen des SPF-records auch im maillog vermerkt. | Natürlich wird ein Fehler beim Überprüfen des SPF-records auch im maillog vermerkt. |
Mar 25 23:52:49 vml000080 smf-spf[16773]: SPF fail: 210.251.252.250, ns.shinko-technos.co.jp, ns.shinko-technos.co.jp, <gerard.e@lawyersonline.co.uk> | Dec 15 14:39:49 vml000080 smf-spf[1501]: SPF fail: ip=88.217.171.167, fqdn=mx1.tachtler.net, helo=mx1.tachtler.net, from=<newsletter@aktuell.erwinmueller.de> |
| |
Im Mailheader der empfangenen eMail findet sich dann auch die entsprechenden Einträge: | Im Mailheader der empfangenen eMail findet sich dann auch die entsprechenden Einträge: |
FIXME | Authentication-Results: mx01.nausch.org; spf=fail smtp.mailfrom=<newsletter@aktuell.erwinmueller.de> smtp.helo=mx1.tachtler.net |
| |
===== SRS - Sender Rewriting Scheme ===== | ===== SRS - Sender Rewriting Scheme ===== |
* **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** | * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** |
| |
~~DISCUSSION~~ | |
| |
~~AUTOTWEET:~~ | |