Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
centos:mail_c7:spam_10 [17.12.2014 14:05. ] – SPF - Sender Policy Framework unter CentOS 7.x django | centos:mail_c7:spam_10 [21.11.2022 15:22. ] – django | ||
---|---|---|---|
Zeile 7: | Zeile 7: | ||
Beim **SPF** wird ein TXT-Record in der Zonendatei der betreffenden (Mail)Domain eingetragen. Dort wird definiert, welche SMTP-Server berechtigt sind, Nachrichten der (Mail)Domain zu verschicken. Mailserver können dann bei der Annahme der eMails abfragen, ob der sendende Mailserver überhaupt berechtigt ist, diese Nachricht zu verschicken. | Beim **SPF** wird ein TXT-Record in der Zonendatei der betreffenden (Mail)Domain eingetragen. Dort wird definiert, welche SMTP-Server berechtigt sind, Nachrichten der (Mail)Domain zu verschicken. Mailserver können dann bei der Annahme der eMails abfragen, ob der sendende Mailserver überhaupt berechtigt ist, diese Nachricht zu verschicken. | ||
- | < | + | <uml> |
title Mailversand einer eMail\n | title Mailversand einer eMail\n | ||
- | skin BlueModern | + | |
participant " | participant " | ||
participant " | participant " | ||
Zeile 62: | Zeile 61: | ||
Über die URL [[http:// | Über die URL [[http:// | ||
+ | <WRAP center round tip 100%> | ||
+ | **Hinweise: | ||
+ | |||
+ | Will man neben dem **SPF**-Record in Form eines TXT-Records auch noch einem **google-site-verification** TXT-Record anlegen, dann kann man nicht zwei TXT-Records für die Domain im DNS hinterlegen. Um dennoch beide Funktionenn nutzen zu können, trägt man beide Werte in einem TXT-Record ein. So z.B. < | ||
+ | </ | ||
+ | |||
+ | |||
+ | /* | ||
+ | https:// | ||
+ | |||
+ | Das SPF-Lookup-Limit erklärt | ||
+ | |||
+ | Eine SPF-Richtlinie darf nicht mehr als 10 zusätzliche DNS-Lookups erfordern, um vollständig ausgewertet zu werden. Wird diese Grenze überschritten, | ||
+ | |||
+ | In diesem Beitrag erklären wir, was dieses Limit ist, wie es sich auf die Zustellbarkeit Ihrer E-Mails auswirken kann und wie Sie die Anzahl der erforderlichen Abfragen reduzieren können. | ||
+ | Was ist SPF? | ||
+ | |||
+ | Standardmäßig kann jeder Computer, der mit dem Internet verbunden ist, E-Mails an jeden beliebigen Posteingang mit einem beliebigen Absendernamen senden. Das bedeutet, dass ohne zusätzliche Gegenmaßnahmen jeder eine E-Mail unter dem Namen president@whitehouse.gov versenden kann. | ||
+ | |||
+ | Das Sender Policy Framework (SPF) ist ein Standard, der Teil des E-Mail-Ökosystems ist und darauf abzielt, diese Form des E-Mail-Identitätsbetrugs zu verhindern. SPF wird auch als einer der Faktoren bei der Erkennung von Spam-Nachrichten verwendet. | ||
+ | |||
+ | Eine SPF-Richtlinie ist eine Liste von Absendern (Computern), | ||
+ | |||
+ | Wenn eine E-Mail-Nachricht von einem E-Mail-Server empfangen wird, verwendet der Empfänger SPF, um festzustellen, | ||
+ | |||
+ | Das Format der SPF-Richtlinie | ||
+ | |||
+ | Eine SPF-Richtlinie besteht aus mehreren Begriffen, die durch Leerzeichen getrennt sind. Ein Begriff kann ein Modifikator (wie v oder redirect) oder ein Anpassungsmechanismus (wie a, mx, include usw.) sein. | ||
+ | |||
+ | Ein passender Begriff hat das folgende Format: | ||
+ | |||
+ | [Präfix][Mechanismus][: | ||
+ | |||
+ | Das Präfix bestimmt das SPF-Validierungsergebnis, | ||
+ | |||
+ | Der Mechanismus bestimmt, wie eine IP-Adresse mit dem Begriff abgeglichen werden soll. Unterstützte Werte sind a, ipv4, ipv6, mx, ptr, include, exists und all. | ||
+ | |||
+ | Der Wertteil eines Begriffs ist optional und hängt vom verwendeten Mechanismus ab. Bei den meisten Mechanismen können Sie mit dem Wert auf andere Domänen verweisen, und wenn er weggelassen wird, wird standardmäßig die aktuelle Domäne verwendet. | ||
+ | SPF-Begriffsabgleich | ||
+ | |||
+ | E-Mail-Dienste kommunizieren über IP-Adressen, | ||
+ | |||
+ | Der Empfänger durchläuft die Begriffe in der SPF-Richtlinie von links nach rechts und sucht nach einem Begriff, der mit der IP-Adresse des Absenders übereinstimmt, | ||
+ | |||
+ | Wenn keine Übereinstimmung gefunden wird, ist das Ergebnis der SPF-Validierung " | ||
+ | Zusätzliche DNS-Abfragen | ||
+ | |||
+ | Bei den meisten Mechanismen muss der Prüfer zusätzliche DNS-Abfragen durchführen, | ||
+ | |||
+ | Ein Beispiel: Der SPF a-Mechanismus bedeutet: Übereinstimmung, | ||
+ | |||
+ | Um also einen Begriff mit einem a-Mechanismus abzugleichen, | ||
+ | |||
+ | Bei den meisten Mechanismen, | ||
+ | Mechanismus Erforderliche DNS-Lookups | ||
+ | a 1 | ||
+ | ip4 keine | ||
+ | ip6 keine | ||
+ | mx 1 oder mehr | ||
+ | ptr 1 oder mehr | ||
+ | include 1 oder mehr | ||
+ | existiert 1 | ||
+ | all keine | ||
+ | |||
+ | Der Modifikator redirect führt ebenfalls zu einem zusätzlichen Lookup. | ||
+ | Modifikator Erforderliche DNS-Abfragen | ||
+ | v keine | ||
+ | redirect 1 | ||
+ | exp keine | ||
+ | |||
+ | Beispiel | ||
+ | |||
+ | Betrachten Sie den folgenden SPF-Eintrag, | ||
+ | |||
+ | v=spf1 a -all | ||
+ | |||
+ | Die obige Beispielrichtlinie hat drei Begriffe. | ||
+ | |||
+ | Der erste Begriff ist der v-Modifikator, | ||
+ | Der zweite Begriff ist ein übereinstimmender Begriff, der den a-Mechanismus verwendet; es ist kein Präfix festgelegt, so dass er standardmäßig + (pass) lautet. Es wird kein Wert festgelegt, so dass er standardmäßig auf die Domäne verweist, in der das SPF veröffentlicht wird. Das vollständige Format dieses Begriffs ist also +a: | ||
+ | Der dritte Begriff ist der All-Mechanismus, | ||
+ | |||
+ | Dieser Begriff bedeutet: Die SPF-Validierung sollte erfolgreich sein, wenn der Absender mit einem der DNS-A-Datensätze von example.com übereinstimmt, | ||
+ | |||
+ | Bei dieser SPF-Richtlinie muss der Empfänger einen zusätzlichen SPF-Lookup (example.com A) durchführen, | ||
+ | Das Lookup-Limit | ||
+ | |||
+ | Die Durchführung von DNS-Abfragen kostet den Validator Ressourcen (Bandbreite, | ||
+ | |||
+ | Laut RFC darf ein Validator (das empfangende E-Mail-System) nach 10 Suchvorgängen nicht mehr fortfahren und die SPF-Validierung mit einem Fehler zurückweisen. | ||
+ | |||
+ | Außerdem besagt der RFC, dass eine DNS-Abfrage eines in einem MX-Eintrag gefundenen Hostnamens nicht mehr als 10 A- oder AAAA-Einträge ergeben darf. | ||
+ | |||
+ | Wenn eine DNS-PTR-Abfrage (Reverse-DNS-Lookup) mehr als 10 Ergebnisse liefert, sind nur die ersten 10 Ergebnisse zu verwenden. Bitte beachten Sie, dass von der Verwendung des SPF ptr-Mechanismus dringend abgeraten wird und dieser nicht verwendet werden sollte. | ||
+ | |||
+ | Überschreitung des Limits | ||
+ | |||
+ | Wenn ein Empfänger bei der Auswertung der SPF-Richtlinie das DNS-Lookup-Limit überschreitet, | ||
+ | |||
+ | Der Empfänger kann selbst entscheiden, | ||
+ | |||
+ | Ein Fehler bei der SPF-Validierung verringert die Wahrscheinlichkeit, | ||
+ | |||
+ | Denken Sie daran, dass die Prüfer die Begriffe in der SPF-Richtlinie von links nach rechts auswerten. Sobald eine Übereinstimmung mit der IP-Adresse des Absenders gefunden wird, wird die Auswertung beendet. Je nach Absender erreicht ein Prüfer also möglicherweise nicht immer das Limit für die Abfrage, selbst wenn die Richtlinie mehr als 10 Abfragen zur vollständigen Bewertung erfordert. Dies macht es besonders schwierig, SPF-Lookup-Limit-bezogene Zustellbarkeitsprobleme zu identifizieren. | ||
+ | |||
+ | Beachten Sie, dass es nicht nur wegen des DNS-Lookup-Limits, | ||
+ | |||
+ | Wie lässt sich die Anzahl der erforderlichen Suchvorgänge reduzieren? | ||
+ | |||
+ | Der Grenzwert von 10 zusätzlichen Suchvorgängen ist recht niedrig. Die Art und Weise, wie Unternehmen heute E-Mails nutzen, unterscheidet sich deutlich von der Situation im Jahr 2006, als der erste SPF-Standard in RFC4408 (inzwischen durch RFC7208 ersetzt) festgelegt wurde. Unternehmen können verschiedene Cloud-basierte E-Mail-Dienste mit einer einzigen Domäne nutzen. | ||
+ | |||
+ | Es kommt häufig vor, dass SPF-Richtlinien das SPF-Lookup-Limit überschreiten. Für einige Domänen kann es eine ziemliche Herausforderung sein, die Grenze von 10 Abfragen einzuhalten. | ||
+ | |||
+ | Im Folgenden finden Sie einige Tipps, wie Sie die Anzahl der erforderlichen Abfragen reduzieren können: | ||
+ | Ungenutzte Dienste entfernen | ||
+ | |||
+ | Der einfachste Schritt besteht darin, Ihren SPF-Eintrag zu überprüfen und alle Dienste zu entfernen, die Sie nicht mehr verwenden. Überprüfen Sie Ihre Einträge auf alle Includes oder andere Mechanismen, | ||
+ | Entfernen Sie die Standard-SPF-Werte | ||
+ | |||
+ | Die meisten Hosting-Dienste legen eine " | ||
+ | Verwenden Sie nicht den ptr-Mechanismus | ||
+ | |||
+ | Der ptr-Mechanismus wird vom aktuellen SPF RFC dringend abgeraten und sollte aufgrund verschiedener Sicherheits- und Zuverlässigkeitsprobleme nicht verwendet werden. Der ptr-Mechanismus kann zu einer starken Zunahme der erforderlichen Suchvorgänge führen, die Sie nicht kontrollieren können. | ||
+ | Vermeiden Sie die Verwendung des mx-Mechanismus | ||
+ | |||
+ | Der mx-Mechanismus ist besonders teuer in Bezug auf die erforderlichen Suchvorgänge (mehr dazu später). Möglicherweise müssen Sie mx nicht in Ihrer Richtlinie verwenden. Denken Sie daran, dass MX-Einträge (Mail eXchange) für den Empfang von E-Mails verwendet werden, nicht unbedingt für den Versand. Wenn Sie einen Cloud-basierten E-Mail-Dienst wie G-Suite oder Office 365 verwenden, sollte der include-Mechanismus verwendet und der mx-Mechanismus weggelassen werden. | ||
+ | Verwenden Sie den ip4- oder ip6-Mechanismus, | ||
+ | |||
+ | Die ip4- und ip6-Mechanismen erfordern keine zusätzlichen Suchvorgänge und sind daher " | ||
+ | Verwenden Sie einen dynamischen SPF-Richtliniendienst | ||
+ | |||
+ | Als letzten Ausweg können Sie einen " | ||
+ | Datensätze NICHT glätten | ||
+ | |||
+ | In verschiedenen Internetforen wird manchmal vorgeschlagen, | ||
+ | Überprüfen Sie Ihren Eintrag nach Änderungen | ||
+ | |||
+ | Um Probleme mit der Zustellbarkeit zu vermeiden, sollten Sie Ihre SPF-Einträge immer validieren, wenn Sie Änderungen vornehmen, um sicherzustellen, | ||
+ | |||
+ | Der mx-Mechanismus ist teuer | ||
+ | |||
+ | Der mx-Mechanismus von SPF ist ein besonders teurer Mechanismus, | ||
+ | |||
+ | Der mx-Mechanismus erlaubt jedem Absender, der mit einem der MX-DNS-Einträge der Domäne übereinstimmt, | ||
+ | |||
+ | Nehmen Sie diesen einfachen SPF-Eintrag: | ||
+ | |||
+ | v=spf1 mx -all | ||
+ | |||
+ | Dieser Eintrag besagt, dass jeder Absender, der mit den MX-DNS-Einträgen der Domäne übereinstimmt, | ||
+ | |||
+ | Das bedeutet, dass der Validator: | ||
+ | |||
+ | einen MX-Lookup durchführen | ||
+ | MX liefert Domänennamen, | ||
+ | |||
+ | Wenn die DNS-Abfrage für die Domäne 3 MX-Datensätze zurückgibt, | ||
+ | |||
+ | Bei großen Cloud-basierten E-Mail-Dienstanbietern wie G-Suite (GMail) oder Microsoft 365 ist es nicht ungewöhnlich, | ||
+ | Schlussfolgerung | ||
+ | |||
+ | Der SPF-Standard RFC7208 schreibt vor, dass eine SPF-Richtlinie nicht mehr als 10 zusätzliche DNS-Lookups zur vollständigen Auswertung benötigen darf. Wenn ein Empfänger mehr als 10 Suchvorgänge durchführen muss, um die SPF-Richtlinie zu bewerten, schlägt die E-Mail-Nachricht die SPF-Validierung mit einem Permerror-Status fehl, was die Zustellung der E-Mail-Nachricht verhindern kann. | ||
+ | |||
+ | Die SPF-DNS-Lookup-Grenze ist ein oft übersehener, | ||
+ | |||
+ | Der Grenzwert von 10 Abfragen ist für die Art und Weise, wie E-Mails heutzutage genutzt werden, ein wenig veraltet. Mit dem Vormarsch der Cloud-basierten E-Mail-Dienste und Marketing-Plattformen wird diese Grenze leicht überschritten. Es muss darauf geachtet werden, dass der Grenzwert für die Abfrage nicht überschritten wird. | ||
+ | |||
+ | Im Zweifelsfall sollten Sie Ihre SPF-Datensätze validieren, um sicherzustellen, | ||
+ | |||
+ | https:// | ||
+ | |||
+ | |||
+ | */ | ||
+ | |||
===== SPF-Bewertung bei der Mailannahme ===== | ===== SPF-Bewertung bei der Mailannahme ===== | ||
Neben der Befragung von [[centos: | Neben der Befragung von [[centos: | ||
Zeile 67: | Zeile 240: | ||
<WRAP round tip> \\ Auf den ersten Blick erscheint der Postfix Poliyd-Daemon **pypolicyd-spf** aus dem [[centos: | <WRAP round tip> \\ Auf den ersten Blick erscheint der Postfix Poliyd-Daemon **pypolicyd-spf** aus dem [[centos: | ||
- | Möchte man aber hingegen später **[[centos: | + | Möchte man aber hingegen später **[[centos: |
</ | </ | ||
Zeile 222: | Zeile 395: | ||
# | # | ||
# Django : 2014-12-17 | # Django : 2014-12-17 | ||
- | Socket inet:10010@127.0.0.1 | + | Socket inet:8890@127.0.0.1 |
# Facility for logging via Syslog daemon | # Facility for logging via Syslog daemon | ||
Zeile 240: | Zeile 413: | ||
# Django : 2014-11-18 | # Django : 2014-11-18 | ||
# DMARC Test | # DMARC Test | ||
- | spf_milter | + | spf_milter |
- | # | + | # |
- | # | + | # |
- | amavisd_milter | + | amavisd_milter |
... | ... | ||
</ | </ | ||
Zeile 282: | Zeile 455: | ||
# less / | # less / | ||
- | Dec 17 14:05:12 vml000087 smf-spf[19140]: | + | Dec 17 14:05:12 vml000087 smf-spf[19140]: |
Dec 17 14:05:12 vml000087 smf-spf[19140]: | Dec 17 14:05:12 vml000087 smf-spf[19140]: | ||
- | Mit Hilfe von **netstat** können wir überprüfen, | + | Mit Hilfe von **netstat** können wir überprüfen, |
# netstat -tulpen | # netstat -tulpen | ||
Zeile 292: | Zeile 465: | ||
Proto Recv-Q Send-Q Local Address | Proto Recv-Q Send-Q Local Address | ||
tcp 0 0 0.0.0.0: | tcp 0 0 0.0.0.0: | ||
- | tcp 0 0 127.0.0.1:10010 0.0.0.0: | + | tcp 0 0 127.0.0.1:8890 |
</ | </ | ||
Gleiches können wir natürlich auch mit dem Befehl **lsof** erreichen. | Gleiches können wir natürlich auch mit dem Befehl **lsof** erreichen. | ||
- | # lsof -i:10010 | + | # lsof -i:8890 |
| | ||
Zeile 329: | Zeile 502: | ||
| | ||
+ | Zum Testen des SPF-Records kann man auch auf Dienste im WWW zurückgreifen. So kann man seinen SPF-Record z.B. über den **[[http:// | ||
+ | |||
+ | {{ : | ||
+ | Alternativ dazu bietet sich auch kitterman' | ||
===== SRS - Sender Rewriting Scheme ===== | ===== SRS - Sender Rewriting Scheme ===== | ||
Zu Beginn dieses Artikels wurde bereits darauf hingewiesen, | Zu Beginn dieses Artikels wurde bereits darauf hingewiesen, | ||
Zeile 340: | Zeile 517: | ||
* **[[http:// | * **[[http:// | ||
- | ~~DISCUSSION~~ | ||
- | ~~AUTOTWEET: | ||