centos:mail_c7:spam_10

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:mail_c7:spam_10 [25.11.2022 16:29. ] djangocentos:mail_c7:spam_10 [18.11.2024 19:11. ] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 7: Zeile 7:
 Beim **SPF** wird ein TXT-Record in der Zonendatei im DNS der betreffenden (Mail)Domain eingetragen. Dort wird definiert, welche SMTP-Server berechtigt sind, Nachrichten der (Mail)Domain zu verschicken. Mailserver können dann bei der Annahme der eMails abfragen, ob der sendende Mailserver überhaupt berechtigt ist, diese Nachricht zu verschicken. So soll bzw. kann mit Hilfe von SPF versucht werden, Absenderadressfälschungen - eine Form des eMail-Identitätsbetrugs - zu verhindern. SPAM kann aber mit Hilfe des Sender Policy Framework nicht direkt bekämpft werden! Beim **SPF** wird ein TXT-Record in der Zonendatei im DNS der betreffenden (Mail)Domain eingetragen. Dort wird definiert, welche SMTP-Server berechtigt sind, Nachrichten der (Mail)Domain zu verschicken. Mailserver können dann bei der Annahme der eMails abfragen, ob der sendende Mailserver überhaupt berechtigt ist, diese Nachricht zu verschicken. So soll bzw. kann mit Hilfe von SPF versucht werden, Absenderadressfälschungen - eine Form des eMail-Identitätsbetrugs - zu verhindern. SPAM kann aber mit Hilfe des Sender Policy Framework nicht direkt bekämpft werden!
  
-Nachfolgende Skizze zeigt exemplarisch auf, wo genau SPF beim Verarbeiten einer eMail beim Kommunikationsaufbau und -ablauf zweier **MTA**((**M**ail**T**ransport**A**gent)) das **SPF** zum Tragen kommt. Sobald eine eMail von einem Mailserver empfangen wird, benutzt dieses das SPF um festzustellen, ob das sendende System (MTA) dazu berechtigt ist. Besteht der Absender die SPF-Prüfung nicht, wird die Annahme der Nachricht je nach Konfiguration abgelehnt, zugestellt und|oder ggf. als Spam bzw. Betrug gekennzeichnet.+Nachfolgende Skizze zeigt exemplarisch auf, wo genau SPF beim Verarbeiten einer eMail beim Kommunikationsaufbau und -ablauf zweier **MTA**((**M**ail **T**ransport **A**gent)) das **SPF** zum Tragen kommt. Sobald eine eMail von einem Mailserver empfangen wird, benutzt dieses das SPF um festzustellen, ob das sendende System (MTA) dazu berechtigt ist. Besteht der Absender die SPF-Prüfung nicht, wird die Annahme der Nachricht je nach Konfiguration abgelehnt, zugestellt und|oder ggf. als Spam bzw. Betrug gekennzeichnet.
  
 <uml> <uml>
Zeile 112: Zeile 112:
  
 ==== DNS Lookup Limitierung ==== ==== DNS Lookup Limitierung ====
-Abhängig von den verwendeten **[[#mechanismus|Mechanismen]]** oder auch **[[|]]** müssen in aller Regel zur Evaluierung der Bewertung der IP-Adresee des einliefernden SMTP-Clients weitere DNS-Anfragen durchgeführt werden. Im [[https://www.rfc-editor.org/rfc/rfc7208#section-4.6.4|RFC 7208]] finden sich ausführliche Hinweise zu den Limitierungen beim DNS-Lookup im Bezug auf unsere SPF-Definitionen.+Abhängig von den verwendeten **[[#mechanismus|Mechanismen]]** oder auch **[[#modifikator|Modifikatoren]]** müssen in aller Regel zur Evaluierung der Bewertung der IP-Adresee des einliefernden SMTP-Clients weitere DNS-Anfragen durchgeführt werden. Im [[https://www.rfc-editor.org/rfc/rfc7208#section-4.6.4|RFC 7208]] finden sich ausführliche Hinweise zu den Limitierungen beim DNS-Lookup im Bezug auf unsere SPF-Definitionen.
  
 Haben wir wie [[#erweiterungen_um_weitere_mechanismen|in diesem Beispiel]] den Mechanismus **''a''** verwendet, muss bei einer Prüfung der verwendete Daemon nicht nur einen TXT-Record im DNS erfragen, sondern zusätzlich noch eine A- (oder AAAA-) DNS-Abfrage für die Domäne durchführen. Beim Mechanismus **''mx''** können das, ja nach Anzahl der im MX-Record hinterlegten MX-Einträge dann einen oder auch mehrere zusätzliche A- (oder AAAA-) DNS-Abfrage nach sich ziehen. Im Falle z.B. von mailbox.org mit den hinterlegten 4 Mailservern wären das dann vier zusätzliche DNS-Anfragen.  Haben wir wie [[#erweiterungen_um_weitere_mechanismen|in diesem Beispiel]] den Mechanismus **''a''** verwendet, muss bei einer Prüfung der verwendete Daemon nicht nur einen TXT-Record im DNS erfragen, sondern zusätzlich noch eine A- (oder AAAA-) DNS-Abfrage für die Domäne durchführen. Beim Mechanismus **''mx''** können das, ja nach Anzahl der im MX-Record hinterlegten MX-Einträge dann einen oder auch mehrere zusätzliche A- (oder AAAA-) DNS-Abfrage nach sich ziehen. Im Falle z.B. von mailbox.org mit den hinterlegten 4 Mailservern wären das dann vier zusätzliche DNS-Anfragen. 
Zeile 123: Zeile 123:
 | **''all''**                    |         | **''exp''**                    |         | | **''all''**                    |         | **''exp''**                    |         |
 | **''exists''**                         | **''redirect''**                       | | **''exists''**                         | **''redirect''**                       |
-| **''include''**                |    ≥ 1   |                                |           |+| **''include''**                |    ≥ 1    |                                |           |
 | **''ip4''**                    |                                        |           | | **''ip4''**                    |                                        |           |
 | **''ip6''**                    |                                        |           | | **''ip6''**                    |                                        |           |
-| **''include''**                |    ≥ 1   |                                |           | +| **''include''**                |    ≥ 1    |                                |           | 
-| **''mx''**                        ≥ 1   |                                |           | +| **''mx''**                        ≥ 1    |                                |           | 
-| **''ptr''**                    |    ≥ 1   |                                |           |+| **''ptr''**                    |    ≥ 1    |                                |           |
  
 Sehen wir uns nun den SPF-Record **''lists.nausch.org''** genauer an und gehen detailliert auf die einzelnen Werte ein. Sehen wir uns nun den SPF-Record **''lists.nausch.org''** genauer an und gehen detailliert auf die einzelnen Werte ein.
Zeile 167: Zeile 167:
 <WRAP round tip> \\ Auf den ersten Blick erscheint der Postfix Poliyd-Daemon **pypolicyd-spf** aus dem [[centos:epel7|EPEL-Repository]] eine leicht zu installierende und vielversprechende Möglichkeit zu sein. Betrachtet man **SPF** alleine, stimmt dies auch. <WRAP round tip> \\ Auf den ersten Blick erscheint der Postfix Poliyd-Daemon **pypolicyd-spf** aus dem [[centos:epel7|EPEL-Repository]] eine leicht zu installierende und vielversprechende Möglichkeit zu sein. Betrachtet man **SPF** alleine, stimmt dies auch.
  
-Möchte man aber hingegen später **[[centos:mail_c7:spam_12|DMARC]]** bei der Bewertung von **[[centos:mail_c7:spam_10|SPF]] __und__ [[centos:mail_c7:spam_9|DKIM]]** einsetzen, so weicht man besser auf den SPF-Milter **smf-spf** aus Djangos Repository **[[centos:mailserver.guru|mailserver.guru]]** aus. +Möchte man aber hingegen später **[[centos:mail_c7:spam_12|DMARC]]** bei der Bewertung von **[[centos:mail_c7:spam_10|SPF]] __und__ [[centos:mail_c7:spam_9|DKIM]]** einsetzen, so weicht man besser auf den SPF-Milter **smf-spf** aus Djangos Repository **[[centos:nausch.org|nausch.org]]** aus. 
  
 </WRAP> </WRAP>
  
 ==== Installation ==== ==== Installation ====
-Die einfachste und schnellste Variante bei der Installation ist die aus dem Repository **[[centos:mailserver.guru|mailserver.guru]]**. Hier reicht ein einfacher Aufruf von **yum** und alles wird automatisch installiert inkl. der Paketabhängigkeiten. +Die einfachste und schnellste Variante bei der Installation ist die aus dem Repository **[[centos:nausch.org|nausch.org]]**. Hier reicht ein einfacher Aufruf von **yum** und alles wird automatisch installiert inkl. der Paketabhängigkeiten. 
    # yum install smf-spf    # yum install smf-spf
  
-Will oder kann man nicht auf das Repository **[[centos:mailserver.guru|mailserver.guru]]** zurückgreifen, steht immer noch der Installation per Hand nichts im Wege. +Will oder kann man nicht auf das Repository **[[centos:nausch.org|nausch.org]]** zurückgreifen, steht immer noch der Installation per Hand nichts im Wege. 
-   # yum localinstall http://repo7.mailserver.guru/7/x86_64/libspf2-1.2.10-1.el7.centos.x86_64.rpm \  +   # yum localinstall http://repo7.nausch.org/7/x86_64/libspf2-1.2.10-1.el7.centos.x86_64.rpm \  
-                      http://repo7.mailserver.guru/7/x86_64/smf-spf-2.0.4-1.el7.centos.x86_64.rpm+                      http://repo7.nausch.org/7/x86_64/smf-spf-2.0.4-1.el7.centos.x86_64.rpm
  
 Was das RPM alle mitbrachte zeigt ein Blick in die RPM-Datenbank. Was das RPM alle mitbrachte zeigt ein Blick in die RPM-Datenbank.
Zeile 194: Zeile 194:
 Build Host  : vml000200.dmz.nausch.org Build Host  : vml000200.dmz.nausch.org
 Relocations : (not relocatable) Relocations : (not relocatable)
-Packager    : Django <django@mailserver.guru>+Packager    : Django <django@nausch.org>
 Vendor      : django Vendor      : django
 URL         : http://smfs.sourceforge.net/smf-spf.html URL         : http://smfs.sourceforge.net/smf-spf.html
Zeile 214: Zeile 214:
  
 ==== Konfiguration ==== ==== Konfiguration ====
-Die Konfiguration des **smf-spf**-Daemons gestaltet sich vergleichsweise einfach und erfolgt lediglich mit Hilfe Der Datei //**/etc/mail/smfs/smf-spf.conf**//. In der Default-Konfiguration wird der Daemon über einen UNIX-Datei-Socket angesprochen. Diesen Parameter **Socket** weisen wir einem localen Port zu, über den wir später von Postfix aus, den SPF-Milter ansprechen wollen.+Die Konfiguration des **smf-spf**-Daemons gestaltet sich vergleichsweise einfach und erfolgt lediglich mit Hilfe Der Datei //**/etc/mail/smfs/smf-spf.conf**//. In der Default-Konfiguration wird der Daemon über einen UNIX-Datei-Socket angesprochen. Diesen Parameter **Socket** weisen wir einem lokalen Port zu, über den wir später von Postfix aus, den SPF-Milter ansprechen wollen.
  
 Mit unserem Editor der Wahl, z.B. **vim** bearbeiten wir diese Konfigurationsdatei. Mit unserem Editor der Wahl, z.B. **vim** bearbeiten wir diese Konfigurationsdatei.
Zeile 332: Zeile 332:
 </file> </file>
  
-In der Konfigurationsdatei **main.cf** unseres Postfix-Mailserver definieren wir uns nun eine eigene Variable, die wir dann in der Datei //**/etc/postfix/master.cf**// dann verwenden wollen. Wir tragen also nun in der Section **MILTER**nachfolgende Zeilen ein.+In der Konfigurationsdatei **main.cf** unseres Postfix-Mailserver definieren wir uns nun eine eigene Variable, die wir dann in der Datei //**/etc/postfix/master.cf**// dann verwenden wollen. Wir tragen also nun in der Section **MILTER** nachfolgende Zeilen ein.
    # vim /etc/postfix/main.cf    # vim /etc/postfix/main.cf
 <file bash /etc/postfix/main.cf>... <file bash /etc/postfix/main.cf>...
Zeile 367: Zeile 367:
    # systemctl status smf-spf    # systemctl status smf-spf
  
-<code>smf-spf.service - Sender Policy Framework milter+<html><pre class="code"> 
 +<font style="color: rgb(0, 255, 0)"><b>● </b></font>smf-spf.service - Sender Policy Framework milter
    Loaded: loaded (/usr/lib/systemd/system/smf-spf.service; disabled)    Loaded: loaded (/usr/lib/systemd/system/smf-spf.service; disabled)
-   Active: active (running) since Wed 2014-12-17 14:05:12 CET; 40min ago+   Active: <font style="color: rgb(0, 255, 0)"><b>active (running)</b></font>since Wed 2014-12-17 14:05:12 CET; 40min ago
   Process: 19140 ExecStart=/usr/sbin/smf-spf (code=exited, status=0/SUCCESS)   Process: 19140 ExecStart=/usr/sbin/smf-spf (code=exited, status=0/SUCCESS)
  Main PID: 19141 (smf-spf)  Main PID: 19141 (smf-spf)
Zeile 375: Zeile 376:
            └─19141 /usr/sbin/smf-spf            └─19141 /usr/sbin/smf-spf
  
-Dec 17 14:05:12 vml000087.dmz.nausch.org systemd[1]: Started Sender Policy Framework milter +Dec 17 14:05:12 vml000087.dmz.nausch.org systemd[1]: Started Sender Policy Framework milter</font> 
-</code+</pre
 +</html>
  
 Im Maillog wird der Start des Daemon entsprechend dokumentiert. Im Maillog wird der Start des Daemon entsprechend dokumentiert.
Zeile 384: Zeile 385:
    Dec 17 14:05:12 vml000087 smf-spf[19140]: starting smf-spf 2.0.2 listening on inet:8890@127.0.0.1    Dec 17 14:05:12 vml000087 smf-spf[19140]: starting smf-spf 2.0.2 listening on inet:8890@127.0.0.1
    Dec 17 14:05:12 vml000087 smf-spf[19140]: running as uid: 993, gid: 99    Dec 17 14:05:12 vml000087 smf-spf[19140]: running as uid: 993, gid: 99
- 
  
 Mit Hilfe von **netstat** können wir überprüfen, ob der Port **8890** geöffnet wurde. Mit Hilfe von **netstat** können wir überprüfen, ob der Port **8890** geöffnet wurde.
Zeile 431: Zeile 431:
 Zum **[[#testing-tools|Testen des SPF-Records]]** kann man auch auf Dienste im WWW zurückgreifen.  Zum **[[#testing-tools|Testen des SPF-Records]]** kann man auch auf Dienste im WWW zurückgreifen. 
 ===== SRS - Sender Rewriting Scheme ===== ===== SRS - Sender Rewriting Scheme =====
-Zu Beginn dieses Artikels wurde bereits darauf hingewiesen, dass mit unter Probleme bei Mailumleitungen und/oder WebFormularen auftauchen können. Mit **SRS**((**S**ender **R**ewriting **S**cheme)) kann ein Mailserver die eMail-Adresse im Envelop umschreiben und anpassen. Eine genauere Beschreibung zu SRS ist im Kapitel **[[centos:mail_c7:spam_11|SRS - Sender Rewriting Scheme]]** zu finden.+Zu Beginn dieses Artikels wurde bereits darauf hingewiesen, dass mit unter Probleme bei Mailumleitungen und/oder Web-Formularen auftauchen können. Mit **SRS**((**S**ender **R**ewriting **S**cheme)) kann ein Mailserver die eMail-Adresse im Envelop umschreiben und anpassen. Eine genauere Beschreibung zu SRS ist im Kapitel **[[centos:mail_c7:spam_11|SRS - Sender Rewriting Scheme]]** zu finden.
  
 ====== Links ====== ====== Links ======
  • centos/mail_c7/spam_10.1669393788.txt.gz
  • Zuletzt geändert: 25.11.2022 16:29.
  • von django