Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:mail_c7:mta_3 [14.10.2014 12:07. ] – django
+++ centos:mail_c7:mta_3 [18.11.2024 19:09. ] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
 ====== DNS Einstellungen rund um Mailserver ======
-{{:centos:mail_c7:postfix-bind-logo.png?nolink&150 |Bild: Postfix & ISC-Bind}} Wie wir in der Postfix [[centos:mail_c7:mta_1#uebersichtsskizze|Übersichtsskizze]] bereits gesehen haben, ist ein funktionierendes **DNS** Grundvoraussetzung, da es so für so gut wie jeder Mailtransport als grundlegender Dienst DNS-Anfrage stellt.
+{{:centos:mail_c7:postfix-bind-logo.png?nolink&150 |Bild: Postfix & ISC-Bind}} Wie wir in der Postfix **[[centos:mail_c7:mta_1#uebersichtsskizze|Übersichtsskizze]]** bereits gesehen haben, ist ein funktionierendes **DNS** Grundvoraussetzung, da es so für so gut wie jeder Mailtransport als grundlegender Dienst DNS-Anfrage stellt.
-Für den ordnungsgemäßen Betrieb unseres Mailservers ist es daher unabdingbar, dass unser Nameserver richtig konfiguriert wurde und saubere Rückmeldungen liefert. Vor allem mit Hinblick auf die Teilnahme am eMailverkehr mit anderen Mailservern ist hierbei besonders zu achten!
+Für den ordnungsgemäßen Betrieb unseres Mailservers ist es daher unabdingbar, dass unser Nameserver richtig konfiguriert wurde und saubere Rückmeldungen liefert. Vor allem mit Hinblick auf die Teilnahme am eMail-Verkehr mit anderen Mailservern ist hierbei besonders zu achten!
 ===== DNS Records =====
@@ Zeile 54: / Zeile 54: @@
 mx1.tachtler.net.
-Mit der Priorität - im obigen Beispiel **10** bzw. **20** wird angegeben, dass der Mailserver mit der höheren Priorität **10** bevorzugt angesprochen werden soll, und erst wenn dieser nicht antwortet auf den Backupmailserver mx1.tachtler.net mit der geringeren Priorität **20** ausgewichen werden soll. Meist wird jedoch von Spammern diesem Wunsch nicht entsprochen, da diese sich bevorzugt an den Backup-Mailserver wenden, in der Hoffnung, dieser sei nachlässiger gepflegt und somit geringer geschützt.
+Mit der Priorität - im obigen Beispiel **10** bzw. **20** wird angegeben, dass der Mailserver mit der höheren Priorität **10** bevorzugt angesprochen werden soll, und erst wenn dieser nicht antwortet auf den Backupmailserver mx1.tachtler.net mit der geringeren Priorität **20** ausgewichen werden soll. Meist wird jedoch von SPAMern diesem Wunsch nicht entsprochen, da diese sich bevorzugt an den Backup-Mailserver wenden, in der Hoffnung, dieser sei nachlässiger gepflegt und somit geringer geschützt.
-Aus diesem Grund werden z.B. oft auch die Mailserver im DNS als gleichgwertig hinterlegt, wie in diesem Beispiel.
+Aus diesem Grund werden z.B. oft auch die Mailserver im DNS als gleichwertig hinterlegt, wie in diesem Beispiel.
    $ dig MX sskm.de +short
@@ Zeile 69: / Zeile 69: @@
 ==== NS Record ====
 Ein **NS**((**N**ame **S**erver))-Record definiert entweder welche Nameserver offiziell für eine Zone zuständig ist, oder er verknüpft einzelne Zonen einer Domain zu einem Zonen-Baum, auch Delegation genannt.
-   $ dig NS mailserver.guru +short
+   $ dig NS nausch.org +short
+  ns1.core-networks.de.
+  ns3.core-networks.com.
+  ns2.core-networks.eu.
-   ns.udagdns.de.
-   ns.udagdns.net.
 ==== PTR Record ====
 Ein **PTR**((**P**oin**T**e**R**))-Records weist einer IP-Adresse einen oder mehrere Hostnamen zu. Dieser Eintrag stellen somit das Gegenstück zu den beiden Record-Typen **A** un **AAAA** dar. Beim sogenannten **//reverse lookup//** wird beim DNS angefragt, welcher Name bzw. welche Namen zu einer genannten IP-Adresse bekannt ist.
   * **IPv4**: <code> $ dig -x 88.217.171.167 +short</code><code>mx1.tachtler.net.</code>
-  * **IPv6**: <code> $ dig -x 2001:1578:400:111::7 +short</code><code>mail.sys4.de.</code>
+  * **IPv6**: <code> $ dig -x 2001:1578:dead:beef::7 +short</code><code>mail.sys4.de.</code>
 <WRAP center round important>
-Obwohl es keine Definition in einem betreffenden **RFC**((**R**equest **F**or **C**omment)), der vorschreibt, dass die IP-Adresse eines Mailservers auf dessen im A-/AAAA-Record definierten Namen zeigen muss, wird diese Forward-/reverse-Auflösung von vielen Mailservern verwendet um bei negativem Ergebnis dieser Anfragen den einliefernden Host mit einem Malus zu belegen.
+Obwohl es keine 100%ige Definition in einem betreffenden **RFC**((**R**equest **F**or **C**omment)), der vorschreibt, dass die IP-Adresse eines Mailservers auf dessen im A-/AAAA-Record definierten Namen zeigen muss, wird diese Forward-/Reverse-Auflösung von vielen Mailservern verwendet um bei negativem Ergebnis dieser Anfragen den einliefernden Host mit einem Malus zu belegen.
-Wir sind also gut bediet, wenn wir uns an diese Spielregeln halten und dies bei der Definition der DNS-EAinträge unseres Mailservers berücksichtigen.
+Wir sind also gut bedient, wenn wir uns an diese Spielregeln halten und dies bei der Definition der DNS-Einträge unseres Mailservers berücksichtigen.
 </WRAP>
@@ Zeile 98: / Zeile 100: @@
 0 443 autodiscover.nausch.org.
-Ein Klient der diese Anfrage stellt erhät folgende Informationen:
+Ein Client der diese Anfrage stellt erhält folgende Informationen:
       * **10** Priorität des angebotenen Dienstes. Hat man mehr als einen Host, der diesen Dienst anbieten soll, kann somit festgelegt werden, welcher Host bevorzugt angesprochen werden sollte.
-      * **0** Will man bei gleicher Priorität mehrere Hosts, so kann man für die Lastverteilung über die Gewichtung fefinieren, welcher Host gewählt werden soll.
+      * **0** Will man bei gleicher Priorität mehrere Hosts, so kann man für die Lastverteilung über die Gewichtung definieren, welcher Host gewählt werden soll.
       * **443** Der Dienst wird über Port **443** angeboten
       * **autodiscover.nausch.org** Definition des Hostsnamens, der den Dienst anbietet
@@ Zeile 107: / Zeile 109: @@
 ==== TXT Record ====
 Mit Hilfe eines **TXT**((**T**e**XT**))-Records kann man einen frei definierbarern Text in einer DNS-Zone abgelegen.
+Nachfolgend gehen wir kurz auf entsprechende **TXT**-Records im Mailserverumfeld ein.
+  * **SPF**: So wird z.B. bei einem **[[centos:mail_c7:mta_3#spf_record|SPF]]**-Record definiert, welche Server Mails einer Domäne verschicken darf, und welcher nicht. \\ \\ <code> $ dig TXT nausch.org +short</code><code>"v=spf1 ip4:217.91.103.190/32 mx ?all"</code>
+  * **DKIM**: Ein weiterer Anwendungsfall eines TXT-Records im Bezug auf Mailserver ist die Veröffentlichung eines **[[centos:mail_c6:mta_9|DKIM]]**((**D**omain**K**eys **I**dentified **M**ail ))-Schlüssels. \\ \\ <code> $ host -t TXT 140224._domainkey.nausch.org</code><code>;; Truncated, retrying in TCP mode.
+._domainkey.nausch.org descriptive text "v=DKIM1\; p=" "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAuJ3/CruOs3fCU0ujOStc" "NN85TJh+5HvMa9m99C5XuRBlxOr+fp5BeIEtiPO0szKvvPojwrueCq0oOuEzjR/i" "2ObpRkzKRUXmAa0qVezUZwQIbKeiuKII0PnpQclDrmQrzSXcQWPT57tkPg17Q9Wa" "mFUUaHeN3+pVGtMyjYekRaAoRlV+a1gD111kXMPhiaFTMIncoRBS/gYN8FjfekH+" "ezqbLHLB8DLJQBZEGUILvJjAHX0722XyqYtkn1qfv63nPRGw/qqAW1072Gchq4ZS" "4ZPQ89SrK4KcHt/XptSlztXMWtmRFQriHdvbjr1Fx7ZwXdTQ+ik2AUZLMdhMrQe6" "/1GujQiMD6po81NpYbrjnfd+QF4sUbus4wPQKVNzsctiuzGlWsFexSHP4dAZtKnI" "mJhVDnzZODQy0nSafedlr5g4VR36vgm0YPWjSyRNnC/APHyw0DtHIrzTqfKuDeGv" "80uMPbEdujrw9gLbK3H8ow42iTicmgPgT3J5j70ZOo4o4FMtpZ/AEQw+VnWpSfw7" "bkMjufLc29XHbtp22wfgq2Lmarr3+psaHokFaQrImkMbzdSL9CdabkLptanAilLS" "cvq8UaKVC+G1+vHDgaweq3BhXD5+YcJnJlp4msUqqxGYlnx4RSvv8PipMU2DsVFb" "NJSH5NJuS7GuzplNg+f20ysCAwEAAQ=="
+</code>
+  * **ADSP**: Über **ADSP**((**A**uthor **D**omain **S**igning **P**ractices)) kann ein (Mail)-Domaininhaber definieren, was ein Mailserver mit einer zu Annahme anstehenden eMail passieren soll, sofern dessen DKIM((**D**omain**K**eys **I**dentified **M**ail))-Signatur **__nicht__** gültig ist. Für ADSP wird dazu ein eigener Qualifier **_adsp** benutzt. Am Beispiel der Domain **sec-mail.guru** ergibt sich der Name **_adsp._domainkey.sec-mail.guru**. \\ \\ <code>$ host -t TXT _adsp._domainkey.sec-mail.guru</code><code>_adsp._domainkey.sec-mail.guru descriptive text "dkim=discardable\;"</code> Der (TXT)-Datensatz hat dabei folgende Struktur „dkim=<WERT>“. Über den <WERT> kann der Domaininhaber folgendes festlegen:
+    * **unknown** Der Domaininhaber signiert einige oder alle Nachrichten.
+    * **all** Alle Nachrichten der Mail-Domäne werden mit einer DKIM-Signatur versehen.
+    * **discardable** Alle Nachrichten der Mail-Domäne werden mit einer DKIM-Signatur versehen. Darüber hinaus empfiehlt der Domain-Inhaber alle Nachrichten deren DKIM-Signatur gebrochen wurde, bei der die Nachricht also manipuliert wurde, zu Verwerfen (REJECT). \\ \\
+  * **DMARC**: Bei **[[centos:mail_c6:mta_13|DMARC]]**((**D**omain**K**eys **I**dentified **M**ail)) kann definiert werden, wie ein empfangender Mailserver Nachrichten behandeln und verarbeiten soll, insbesondere mit Hinblick auf die Bewertung der Versandberechtigung des einliefernden Mailservers (SPF) und der nicht veränderten Nachricht (DKIM). Fällt eine oder beide Überprüfungen negativ aus, definiert DMARC, ob die eMail in Quarantäne gestellt, die Annahme der eMail abgelehnt (reject) oder eben dennoch zugestellt werden soll. \\ \\ <code> $ dig -t TXT _dmarc.nausch.org +short</code><code>"v=DMARC1\; p=none\; pct=100\; rua=mailto:dmarc-reports@nausch.org,mailto:pv27ekln@ag.dmarcian.com\; ruf=mailto:dmarc-fails@nausch.org,mailto:pv27ekln@fr.dmarcian.com\;"</code> Eine Beschreibung der einzelnen Parameter findet man hier im Wiki im Kapitel [[centos:mail_c6:mta_13|DMARC - Domain-based Message Authentication, Reporting & Conformance]].
+===== MTA DNS spezifische Records =====
+Für den erfolgreichen Mailserverbetrieb müssen wir nun ein paar wichtige DNS-Konfigurationen vornehmen. Wir benötigen dabei __**mindestens**__ folgende Einträge:
+  * **[[centos:mail_c7:mta_3#a_record|A]]** bzw. **[[centos:mail_c7:mta_3#aaaa_record|AAAA-Record]]**
+  * **[[centos:mail_c7:mta_3#ptr_record|PTR-Record]]**
+  * **[[centos:mail_c7:mta_3#mx_record|MX-Record]]**
+Die folgenenden Records sind optional:
+  * **[[centos:mail_c7:mta_3#spf_record|SPF]]**-Record
+  * **[[centos:mail_c7:mta_3#srv_record|SRV]]**-Record
+  * **[[centos:mail_c7:mta_3#srv_record|TXT]]**-Records:
+    * **[[centos:mail_c7:mta_3#spf_record|SPF]]**-Records
+    * **[[centos:mail_c7:mta_3#srv_record|DKIM]]**-Record
+    * **[[centos:mail_c7:mta_3#srv_record|ADSP]]**-Record
+    * **[[centos:mail_c7:mta_3#srv_record|DMARC]]**-Record
+Bei den Einzelnen Anwendungen und Lösungen werden wir auf ggf. nötige Anpassungen im **DNS** zurückkommen.
+====== Links ======
+  * **⇐ Zurück zum Kapitel "Installation und Basiskonfiguration von Postfix [[centos:mail_c7:mta_2|2.11]] bzw. [[centos:mail_c7:postfix3_1|3.x]] unter CentOS 7"**
+  * **⇒ Weiter zum Kapitel "Konfiguration unseres MTAs Postfix [[centos:mail_c7:mta_4|2.11]] bzw. [[centos:mail_c7:postfix3_4|3.x]] unter CentOS 7"**
+  * **[[centos:mail_c7:start|Zurück zum Kapitel >>Mailserverinstallation unter CentOS 7<<]]**
+  * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
+  * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
-===== MTA DNS spezifische Records =====
-Für den erfolgreichen Mailserverbetrieb müssen wir nun ein paar wichtige DNS-Konfigurationen vornehmen.