Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:mail_c7:spam_10 [24.11.2022 18:02. ] – [Modifikator] django
+++ centos:mail_c7:spam_10 [27.11.2022 20:56. ] (aktuell) – django
@@ Zeile 1: / Zeile 1: @@
-====== SPF - Sender Policy Framework unter CentOS 7.x ======
+====== SPF - Sender Policy Framework (unter CentOS 7.x) ======
 {{:centos:mail_c6:spf-logo-medium.png?nolink |SPF Logo}}
-Mit Hilfe von SPF((**S**ender **P**olicy **F**rameworks)) kann definiert werden, welche Mailserver für welche Domains eMails verschickt werden (können), oder nicht, oder anders ausgedrückt, soll das Fälschen von Absender-Angaben mit Hilfe von SPF erschwert werden. Genauer gesagt schreibt das SPF fest, welcher MTA((**M**ail **T**ransport **A**gent)) abgehend für den Versandt von e-Mails einer Domain zugelassen ist. Wichtige Hinweise zu SPF findet man bei Bedarf in der überarbeiteten Version **[[https://www.ietf.org/rfc/rfc6652.txt|RFC 6652]]**((RFC 6652 aktualisiert [[https://www.ietf.org/rfc/rfc4408.txt|RFC 4408]])) oder auch auf der Webseite von **[[http://www.openspf.org|openspf.org]]**.
+Mit Hilfe von SPF((**S**ender **P**olicy **F**rameworks)) kann definiert werden, welche Mailserver für welche Domains eMails verschickt werden (können), oder nicht, oder anders ausgedrückt, soll das Fälschen von Absender-Angaben mit Hilfe von SPF erschwert werden. Genauer gesagt schreibt das SPF fest, welcher MTA((**M**ail **T**ransport **A**gent)) abgehend für den Versandt von e-Mails einer Domain zugelassen ist. Wichtige Hinweise zu SPF findet man bei Bedarf in der überarbeiteten Version **[[https://www.ietf.org/rfc/rfc7208.txt|RFC 7208]]** oder auch auf der Webseite von **[[http://www.openspf.org|openspf.org]]**.
-Dieses here Ziel wirft bei genauerer Betrachtung viele Fragen auf und erzeugt bei manchen Mailserver-Betreibern nicht gerade viel Begeisterungsstürme. Probleme tauchen mit unter bei Mailumleitungen, Mailinglisten und/oder WebFormularen auf. Auch wird bei sehr konservativen SPF-Definition die Möglichkeit verhindert, eMails mit eigener Absender-eMail-Adresse über einen dritten Rechner zu versenden. Es wäre also nur möglich eMails auch über den Mail-Server zu versenden, auf dem auch das Postfach liegt! Speziell auch Beim Versand über ein z.B. WebFormular, oder eine Web-Grußkarte über einen Drittanbieter wäre dann **kein Versand** mehr möglich!
+Dieses here Ziel wirft bei genauerer Betrachtung viele Fragen auf und erzeugt bei manchen Mailserver-Betreibern nicht gerade viel Begeisterungsstürme. Probleme tauchen mit unter bei Mailumleitungen, Mailinglisten und/oder WebFormularen auf. Auch wird bei sehr konservativen SPF-Definition die Möglichkeit verhindert, eMails mit eigener Absender-eMail-Adresse über einen dritten Rechner zu versenden. Es wäre also nur möglich eMails auch über den Mail-Server zu versenden, auf dem auch das Postfach liegt! Speziell auch Beim Versand über ein z.B. WebFormular, oder eine Web-Grusskarte über einen Drittanbieter wäre dann **kein Versand** mehr möglich!
 Beim **SPF** wird ein TXT-Record in der Zonendatei im DNS der betreffenden (Mail)Domain eingetragen. Dort wird definiert, welche SMTP-Server berechtigt sind, Nachrichten der (Mail)Domain zu verschicken. Mailserver können dann bei der Annahme der eMails abfragen, ob der sendende Mailserver überhaupt berechtigt ist, diese Nachricht zu verschicken. So soll bzw. kann mit Hilfe von SPF versucht werden, Absenderadressfälschungen - eine Form des eMail-Identitätsbetrugs - zu verhindern. SPAM kann aber mit Hilfe des Sender Policy Framework nicht direkt bekämpft werden!
-Nachfolgende Skizze zeigt exemplarisch auf, wo genau SPF beim Verarbeiten einer eMail beim Kommunikationsaufbau und -ablauf zweier **MTA**((**M**ail**T**ransport**A**gent)) das **SPF** zum Tragen kommt. Sobald eine eMail von einem Mailserver empfangen wird, benutzt dieses das SPF um festzustellen, ob das sendende System (MTA) dazu berechtigt ist. Besteht der Absender die SPF-Prüfung nicht, wird die Annahme der Nachricht je nach Konfiguration abgelehnt oder ggf. als Spam bzw. Betrug gekennzeichnet.
+Nachfolgende Skizze zeigt exemplarisch auf, wo genau SPF beim Verarbeiten einer eMail beim Kommunikationsaufbau und -ablauf zweier **MTA**((**M**ail **T**ransport **A**gent)) das **SPF** zum Tragen kommt. Sobald eine eMail von einem Mailserver empfangen wird, benutzt dieses das SPF um festzustellen, ob das sendende System (MTA) dazu berechtigt ist. Besteht der Absender die SPF-Prüfung nicht, wird die Annahme der Nachricht je nach Konfiguration abgelehnt, zugestellt und|oder ggf. als Spam bzw. Betrug gekennzeichnet.
 <uml>
@@ Zeile 38: / Zeile 38: @@
 </uml>
-Weitere Informationen rund um SPF findet man im übrigen auf der [[http://de.wikipedia.org/wiki/Sender_Policy_Framework|Wikipedia Seite]] oder im besagten **[[https://www.ietf.org/rfc/rfc6652.txt|RFC 6652]]**.
+Weitere Informationen rund um SPF findet man im übrigen auf der [[http://de.wikipedia.org/wiki/Sender_Policy_Framework|Wikipedia Seite]] oder im besagten **[[https://www.rfc-editor.org/rfc/rfc7208.html|RFC 7208]]**.
 ===== Definition unseres SPF-Records =====
@@ Zeile 57: / Zeile 57: @@
  === Mechanismus ===
  Der [[https://www.rfc-editor.org/rfc/rfc7208.html#section-5|Mechanismus]] bestimmt, wie eine IP-Adresse mit dem Begriff abgeglichen werden soll. Unterstützte Werte sind hier:
-  * **''a''**       : definiert einen A-Record der Domäne, wird keine Domäne angegeben, wird standardmäßig die aktuelle Domäne verwendet.
+  * **''a''**       : definiert einen A-Record der Domäne, wird keine Domäne angegeben, wird standardmässig die aktuelle Domäne verwendet.
   * **''ipv4''**    : Angabe einer IPv4-Adresse
   * **''ipv6''**    : Angabe einer IPv6-Adresse
   * **''mx''**      : definiert eine IP-Adresse, die im MX-Record der Domäne definiert wurde.
-  * **''ptr''**     : Dieser Mechanismus prüft, ob das DNS-Reverse-Mapping für <ip> existiert und korrekt auf einen Domänennamen innerhalb einer bestimmten Domäne verweist. Dieser Mechanismus **SOLLTE NICHT** veröffentlicht werden.
+  * **''ptr''**     : Dieser Mechanismus prüft, ob das DNS-Reverse-Mapping für <ip> existiert und korrekt auf einen Domänennamen innerhalb einer bestimmten Domäne verweist. Im aktuellen **[[https://www.rfc-editor.org/rfc/rfc7208.html#section-5.5|SPF RFC]]** wird von der Nutzung dringend abgeraten und sollte daher aufgrund verschiedener Sicherheits- und Zuverlässigkeitsprobleme nicht verwendet werden!
   * **''include''** : Einbinden einer weiteren SPF-Abfrage.
   * **''exists''**  : Dieser Mechanismus wird verwendet, um einen beliebigen Domänennamen zu konstruieren, der für eine DNS-A-Eintragsabfrage verwendet wird. Er erlaubt komplizierte Schemata die beliebige Teile des mail envelops einbeziehen, um zu bestimmen, was erlaubt ist.
@@ Zeile 69: / Zeile 69: @@
 [[https://www.rfc-editor.org/rfc/rfc7208#section-6|Modifikatoren]] sind Name/Wert-Paare, mit denen zusätzliche Informationen im SPF-Record geliefert werden können. Die Modifikatoren **sollen** nach allen Mechanismen am Ende eines Datensatzes erscheinen, obwohl diese syntaktisch theoretisch an jeder beliebigen Stelle des Datensatzes stehen können.
   * **''redirect''** : verweist auf weitere SPF-Definitionen z.B. einer anderen Domain.
-  * **''exp''**      : [[https://www.rfc-editor.org/rfc/rfc7208#section-6.2|Explanation]]
+  * **''exp''**      : Sofern ein SMTP-Empfänger eine Nachricht ablehnt, kann dieser optional eine [[https://www.rfc-editor.org/rfc/rfc7208#section-6.2|Erklärung]]  hinzufügen. Welche Erklärungszeichenfolge ein Absender sieht kann der Absender im SPF-Record angeben. Auf diese Weise kann ein Mail-Anbieter nicht konforme Sender Hinweise und Anweisungen zu SPF und zur Konfiguration von SPF geben. Der Modifikator **''exp''** darf __nur __ druckbare ASCII-Zeichen enthalten!
 ==== Beispiele ====
 === einfach "mx"-Definition ===
@@ Zeile 101: / Zeile 101: @@
 <WRAP center round important 80%>
-Wichtig ist hierbei, dass bei Nutzung des Mechanismus **''mx''** dieser im führenden SPF-Record aufgeführt wird und nicht in einem der inkludierten zusätzlichen ergänzenden Records!
+Wichtig ist hierbei, dass bei Nutzung des Mechanismus **''mx''** dieser im führenden SPF-Record aufgeführt wird und nicht in einem der inkludierten zusätzlichen ergänzenden Records! Weiterhin ist zu beachten, dass pro MX-Eintrag im DNS dann zusätzliche DNS-Anfragen nach sich ziehen, siehe [[#dns_lookup_limitierung|Abschnitt DNS Lookup Limitierung]].
 </WRAP>
 ==== zusätzliche Hinweise ====
-<WRAP center round tip 100%>
+<WRAP center round tip 80%>
 **Hinweise:** \\
@@ Zeile 112: / Zeile 112: @@
 ==== DNS Lookup Limitierung ====
-Abhängig von den verwendeten **[[#mechanismus|Mechanismen]]** oder auch **[[|]]** müssen in aller Regel zur Evaluierung der Bewertung der IP-Adresee des einliefernden SMTP-Clients weitere DNS-Anfragen durchgeführt werden. Im [[https://www.rfc-editor.org/rfc/rfc7208#section-4.6.4|RFC 7208]] finden sich ausführliche Hinweise zu den Limitierungen beim DNS-Lookup im Bezug auf unsere SPF-Definitionen.
+Abhängig von den verwendeten **[[#mechanismus|Mechanismen]]** oder auch **[[#modifikator|Modifikatoren]]** müssen in aller Regel zur Evaluierung der Bewertung der IP-Adresee des einliefernden SMTP-Clients weitere DNS-Anfragen durchgeführt werden. Im [[https://www.rfc-editor.org/rfc/rfc7208#section-4.6.4|RFC 7208]] finden sich ausführliche Hinweise zu den Limitierungen beim DNS-Lookup im Bezug auf unsere SPF-Definitionen.
-Abhängig von den verwendeten **[[#mechanismus|Mechanismen]]**
-==== Testing-Tools ====
+Haben wir wie [[#erweiterungen_um_weitere_mechanismen|in diesem Beispiel]] den Mechanismus **''a''** verwendet, muss bei einer Prüfung der verwendete Daemon nicht nur einen TXT-Record im DNS erfragen, sondern zusätzlich noch eine A- (oder AAAA-) DNS-Abfrage für die Domäne durchführen. Beim Mechanismus **''mx''** können das, ja nach Anzahl der im MX-Record hinterlegten MX-Einträge dann einen oder auch mehrere zusätzliche A- (oder AAAA-) DNS-Abfrage nach sich ziehen. Im Falle z.B. von mailbox.org mit den hinterlegten 4 Mailservern wären das dann vier zusätzliche DNS-Anfragen.
-Zum Testen auf Validität unseres SPF-Records stehen uns im WEB unter anderem folgende Dienste (**[[#tests_und_logging|SPF Record Testing Tools]]**) zur Verfügung. Die Ergebnisse können helfen auf Mängel in den Records hinzuweisen, so dass wir zur besseren Reputation bei der Mailannahmen bei den Empfängern doch auch entscheidend Einfluss nehmen können.
-  * **https://www.kitterman.com/spf/validate.html**
-  * **https://www.spf-record.de/spf-lookup/**
-  * **https://dmarcian.com/spf-survey/**
-  * **https://mxtoolbox.com/SuperTool.aspx**
-/*
+Doch wie viele DNS-Anfragen werden nun im Zweifelsfall zusätzlich benötigt? Eine Antwort auf diese Frage bietet nachfolgende Tabelle.
-https://www.mailhardener.com/blog/spf-lookup-limit-explained
-Das SPF-Lookup-Limit erklärt
+|< 30% 10% 5% 10% 5% >|
+^ [[#mechanismus|Mechanismus]]    ^  lookups  ^ [[#modifikator|Modifikator]]   ^  lookups  ^
+| **''a''**                      |     1     | **''v''**                      |     0     |
+| **''all''**                    |     0     | **''exp''**                    |     0     |
+| **''exists''**                 |     1     | **''redirect''**               |     1     |
+| **''include''**                |    ≥ 1    |                                |           |
+| **''ip4''**                    |     0     |                                |           |
+| **''ip6''**                    |     0     |                                |           |
+| **''include''**                |    ≥ 1    |                                |           |
+| **''mx''**                     |    ≥ 1    |                                |           |
+| **''ptr''**                    |    ≥ 1    |                                |           |
-Eine SPF-Richtlinie darf nicht mehr als 10 zusätzliche DNS-Lookups erfordern, um vollständig ausgewertet zu werden. Wird diese Grenze überschritten, kann eine E-Mail-Nachricht die SPF-Prüfung nicht bestehen, was zu Problemen bei der Zustellbarkeit führen und die Reputation der Domain beeinträchtigen kann.
+Sehen wir uns nun den SPF-Record **''lists.nausch.org''** genauer an und gehen detailliert auf die einzelnen Werte ein.
-In diesem Beitrag erklären wir, was dieses Limit ist, wie es sich auf die Zustellbarkeit Ihrer E-Mails auswirken kann und wie Sie die Anzahl der erforderlichen Abfragen reduzieren können.
+   $ dig TXT lists.nausch.org +short
-Was ist SPF?
+<code>v=spf1 mx include:_spf.blk1.nausch.org include:_spf.blk2.nausch.org -all exp=explain._spf.%{d}</code>
+   $ dig TXT _spf.blk1.nausch.org +short
+<code>"v=spf1 ip6:2001:678:e68:102:1ae8:29ff:fec6:c8dd/128 ip6:2001:678:ed0:102:1ae8:29ff:fec6:c8dd/128 ip6:2001:678:e68:102:dea6:32ff:fe22:f0f2/128 ip6:2001:678:ed0:102:dea6:32ff:fe22:f0f2/128"</code>
+   $ dig TXT _spf.blk2.nausch.org +short
+<code>"v=spf1 ip6:2001:678:e68:102:1ae8:29ff:fea9:22ed/128 ip6:2001:678:ed0:102:1ae8:29ff:fea9:22ed/128 ip6:2001:678:e68:102:1ae8:29ff:fec6:c8eb/128 ip6:2001:678:ed0:102:1ae8:29ff:fec6:c8eb/128"</code>
+   $ dig TXT explain._spf.nausch.org +short
+<code>"Emails from lists.nausch.org may only be sent from your own authorized mail servers. Further instructions and explanations can be found here: https://dokuwiki.nausch.org/doku.php/centos:mail_c7:spam_10"</code>
-Standardmäßig kann jeder Computer, der mit dem Internet verbunden ist, E-Mails an jeden beliebigen Posteingang mit einem beliebigen Absendernamen senden. Das bedeutet, dass ohne zusätzliche Gegenmaßnahmen jeder eine E-Mail unter dem Namen president@whitehouse.gov versenden kann.
+Zur vollständigen Bewertung eines anliefernden SMTP-Clients (IP-Adresse) sind also noch weitere DNS-Anfragen notwendig...
+  - einen MX-Lookup je Host im MX-Record einen Lookup (in unserem Fall **1** für den Host **''mx1.nausch.org''**)
+  - zwei TXT-Lookups für die inkludierten Blöcke **''_spf.blk1''** und **''_spf.blk2''**
+... in Summe also **drei** DNS-Anfagen. Hätte der MX-Record hingegen **vier** eingetragene Mailserver, wären dies schon in Summe **sechs** DNS-Anfragen!
-Das Sender Policy Framework (SPF) ist ein Standard, der Teil des E-Mail-Ökosystems ist und darauf abzielt, diese Form des E-Mail-Identitätsbetrugs zu verhindern. SPF wird auch als einer der Faktoren bei der Erkennung von Spam-Nachrichten verwendet.
+<WRAP center round important 80%>
+Aus diesem Grund ist es ratsam, statt dem **mx**-Mechanismus die betreffenden Mailserver einzeln in einem **''include''**-Abschnitt aufzuführen! Natürlich müssen bei Änderungen am MX-Record dann zusätzlich auch die IP-Adressen im **''include''** Abschnitt gepflegt werden, so dass in einem SPF-Record nur aktuell verwendete Systeme gelistet werden sollen, versteht sich von selbst und sollte so erst gar nicht einer Erwähnung benötigen.
-Eine SPF-Richtlinie ist eine Liste von Absendern (Computern), die im Namen einer Domäne E-Mails versenden dürfen. Die Richtlinie wird als DNS-Eintrag unter der Domäne veröffentlicht, für die sie gilt.
+Der SPF-Standard **[[https://www.rfc-editor.org/rfc/rfc7208.html#section-4.6.4|RFC7208]]** schreibt vor, dass eine SPF-Richtlinie nicht mehr als 10 zusätzliche DNS-Lookups zur vollständigen Auswertung benötigen darf. Wenn ein Empfänger mehr als 10 Suchvorgänge durchführen muss, um die SPF-Richtlinie zu bewerten, schlägt beim Zustellversuch der eMail-Nachricht die SPF-Validierung mit einem Permerror-Status fehl, was die Zustellung der E-Mail-Nachricht verhindern kann.
+</WRAP>
+==== Testing-Tools ====
+Zum Testen auf Validität unseres SPF-Records stehen uns im WEB unter anderem folgende Dienste (**[[#tests_und_logging|SPF Record Testing Tools]]**) zur Verfügung. Die Ergebnisse können helfen auf Mängel in den Records hinzuweisen, so dass wir zur besseren Reputation bei der Mailannahmen bei den Empfängern doch auch entscheidend Einfluss nehmen können.
+  * **[[http://spf.myisp.ch/|SPF Record Checker]]** \\ {{ :centos:mail_c7:spf_checker_1.png?nolink&750 |Bild: Bildschirmhardcopy SPF Record Checker}}
+  * **[[https://www.spf-record.de/spf-lookup/|spfrecord by nicmanager]]** \\ {{ :centos:mail_c7:spf_checker_3.png?nolink&750 |Bild: Bildschirmhardcopy SPF Record Testing Tools}}
+  * **[[https://dmarcian.com/spf-survey/|SPF Surveyer - dmarcian]]** \\ {{ :centos:mail_c7:spf_checker_4.png?nolink&750 |Bild: Bildschirmhardcopy demarcian SPF Surveyer}}
+  * **[[https://www.kitterman.com/spf/validate.html|SPF Record Testing Tools]]** \\ {{ :centos:mail_c7:spf_checker_2.png?nolink&750 |Bild: Bildschirmhardcopy SPF Record Testing Tools}}
+  * **[[https://mxtoolbox.com/SuperTool.aspx|MX Toolbox]]** \\ {{ :centos:mail_c7:spf_checker_5.png?nolink&750 |Bild: Bildschirmhardcopy MX Toolbox - SPF Record Lookup}}
+  * **[[https://mxtoolbox.com/emailhealth/|MX Toolbox: Email Health Report]]** \\ {{ :centos:mail_c7:spf_checker_6.png?nolink&750 |Bild: Bildschirmhardcopy MX Toolbox - Email Health Repor}}
-Wenn eine E-Mail-Nachricht von einem E-Mail-Server empfangen wird, verwendet der Empfänger SPF, um festzustellen, ob der Computer, der die Nachricht gesendet hat, dazu berechtigt war. Wenn der Absender die SPF-Prüfung nicht besteht, wird die Nachricht wahrscheinlich zurückgewiesen oder als Spam oder Betrug gekennzeichnet.
-Das Format der SPF-Richtlinie
-Eine SPF-Richtlinie besteht aus mehreren Begriffen, die durch Leerzeichen getrennt sind. Ein Begriff kann ein Modifikator (wie v oder redirect) oder ein Anpassungsmechanismus (wie a, mx, include usw.) sein.
-Ein passender Begriff hat das folgende Format:
-[Präfix][Mechanismus][:Wert]
-Das Präfix bestimmt das SPF-Validierungsergebnis, das der Empfänger auf die Nachricht anwenden soll, wenn der Absender mit dem Begriff übereinstimmt. Erlaubte Werte sind + (pass), ? (neutral), ~ (soft fail) oder - (fail). Das Präfix ist optional, wenn kein Präfix definiert ist, wird standardmäßig "pass" (+) verwendet.
-Der Mechanismus bestimmt, wie eine IP-Adresse mit dem Begriff abgeglichen werden soll. Unterstützte Werte sind a, ipv4, ipv6, mx, ptr, include, exists und all.
-Der Wertteil eines Begriffs ist optional und hängt vom verwendeten Mechanismus ab. Bei den meisten Mechanismen können Sie mit dem Wert auf andere Domänen verweisen, und wenn er weggelassen wird, wird standardmäßig die aktuelle Domäne verwendet.
-SPF-Begriffsabgleich
-E-Mail-Dienste kommunizieren über IP-Adressen, nicht über Domänennamen. Wenn ein SMTP-Server eine E-Mail empfängt, verwendet er SPF, um festzustellen, ob die IP-Adresse des Absenders mit einem der Begriffe im SPF-Eintrag übereinstimmt.
-Der Empfänger durchläuft die Begriffe in der SPF-Richtlinie von links nach rechts und sucht nach einem Begriff, der mit der IP-Adresse des Absenders übereinstimmt, indem er den angegebenen Mechanismus verwendet. Sobald eine Übereinstimmung gefunden wird, wird die Iteration gestoppt und der Empfänger wendet die Aktion an, die im Präfixwert des übereinstimmenden Begriffs definiert ist.
-Wenn keine Übereinstimmung gefunden wird, ist das Ergebnis der SPF-Validierung "neutral", d. h. es wird keine SPF-Validierung zur Spam-Erkennung verwendet. Aus diesem Grund enden SPF-Richtlinien in der Regel mit einem All-Term, der immer übereinstimmt. Dem all-Term wird üblicherweise ein - (fail) oder ~ (soft-fail) vorangestellt.
-#########################################################################################################################################################################
-Zusätzliche DNS-Abfragen
-Bei den meisten Mechanismen muss der Prüfer zusätzliche DNS-Abfragen durchführen, um die IP-Adresse mit ihr abzugleichen.
-Ein Beispiel: Der SPF a-Mechanismus bedeutet: Übereinstimmung, wenn die IP-Adresse mit einem der DNS-A-Datensätze dieser Domäne übereinstimmt.
-Um also einen Begriff mit einem a-Mechanismus abzugleichen, muss der Prüfer zunächst eine A- (oder AAAA-) DNS-Abfrage für die Domäne durchführen. SPF-Richtlinien mit mehreren Begriffen können mehr DNS-Abfragen erfordern. Einige Mechanismen erfordern mehr als eine zusätzliche Abfrage.
-Bei den meisten Mechanismen, mit Ausnahme von ip4, ip6 und allen, muss der Prüfer zusätzliche Nachforschungen anstellen.
-Mechanismus Erforderliche DNS-Lookups
-a 1
-ip4 keine
-ip6 keine
-mx 1 oder mehr
-ptr 1 oder mehr
-include 1 oder mehr
-existiert 1
-all keine
-Der Modifikator redirect führt ebenfalls zu einem zusätzlichen Lookup.
-Modifikator Erforderliche DNS-Abfragen
-v keine
-redirect 1
-exp keine
-Beispiel
-Betrachten Sie den folgenden SPF-Eintrag, der unter example.com veröffentlicht wird:
-v=spf1 a -all
-Die obige Beispielrichtlinie hat drei Begriffe.
-    Der erste Begriff ist der v-Modifikator, der am Anfang eines SPF-Eintrags erforderlich ist.
-    Der zweite Begriff ist ein übereinstimmender Begriff, der den a-Mechanismus verwendet; es ist kein Präfix festgelegt, so dass er standardmäßig + (pass) lautet. Es wird kein Wert festgelegt, so dass er standardmäßig auf die Domäne verweist, in der das SPF veröffentlicht wird. Das vollständige Format dieses Begriffs ist also +a:example.com.
-    Der dritte Begriff ist der All-Mechanismus, der mit jeder IP-Adresse übereinstimmt, er hat ein Präfix - (fail).
-Dieser Begriff bedeutet: Die SPF-Validierung sollte erfolgreich sein, wenn der Absender mit einem der DNS-A-Datensätze von example.com übereinstimmt, und bei jeder anderen IP-Adresse fehlschlagen.
-Bei dieser SPF-Richtlinie muss der Empfänger einen zusätzlichen SPF-Lookup (example.com A) durchführen, um eine vollständige Auswertung zu erhalten.
-Das Lookup-Limit
-Die Durchführung von DNS-Abfragen kostet den Validator Ressourcen (Bandbreite, Zeit, CPU, Speicher). Um eine "unangemessene Belastung" des Validators zu vermeiden, besagt RFC7208 Abschnitt 4.6.4, dass die Bewertung einer SPF-Policy 10 zusätzliche Lookups nicht überschreiten darf. Die DNS-Abfrage für den SPF-Richtlinieneintrag selbst zählt nicht zu diesem Limit.
-Laut RFC darf ein Validator (das empfangende E-Mail-System) nach 10 Suchvorgängen nicht mehr fortfahren und die SPF-Validierung mit einem Fehler zurückweisen.
-Außerdem besagt der RFC, dass eine DNS-Abfrage eines in einem MX-Eintrag gefundenen Hostnamens nicht mehr als 10 A- oder AAAA-Einträge ergeben darf.
-Wenn eine DNS-PTR-Abfrage (Reverse-DNS-Lookup) mehr als 10 Ergebnisse liefert, sind nur die ersten 10 Ergebnisse zu verwenden. Bitte beachten Sie, dass von der Verwendung des SPF ptr-Mechanismus dringend abgeraten wird und dieser nicht verwendet werden sollte.
-Überschreitung des Limits
-Wenn ein Empfänger bei der Auswertung der SPF-Richtlinie das DNS-Lookup-Limit überschreitet, muss er die SPF-Validierung für diese Nachricht mit einer Fehlermeldung ablehnen. Dieser Fehler kann bei der Verwendung der DMARC-Überwachung beobachtet werden.
-Der Empfänger kann selbst entscheiden, was er mit dem Permerror-Fehler macht. Einige Empfänger lehnen die E-Mail vollständig ab (bouncen). Einige Empfänger geben der E-Mail ein "neutrales" SPF-Ergebnis (als ob kein SPF verwendet würde), während andere Empfänger das SPF-Ergebnis auf "fail" oder "softfail" setzen. Normalerweise gibt es mehrere andere Faktoren wie DMARC, DKIM, Spam-Bewertung usw., die der Empfänger verwendet, um zu entscheiden, ob die Nachricht in den Posteingang des Empfängers zugestellt werden soll.
-Ein Fehler bei der SPF-Validierung verringert die Wahrscheinlichkeit, dass die Nachricht überhaupt zugestellt wird. Es erhöht die Wahrscheinlichkeit, dass die Nachricht als Spam oder potenzieller Betrug eingestuft wird. Wenn der Empfänger ein Domain- oder Absenderbewertungssystem verwendet, wirkt sich ein Permerror negativ auf die Bewertung aus.
-Denken Sie daran, dass die Prüfer die Begriffe in der SPF-Richtlinie von links nach rechts auswerten. Sobald eine Übereinstimmung mit der IP-Adresse des Absenders gefunden wird, wird die Auswertung beendet. Je nach Absender erreicht ein Prüfer also möglicherweise nicht immer das Limit für die Abfrage, selbst wenn die Richtlinie mehr als 10 Abfragen zur vollständigen Bewertung erfordert. Dies macht es besonders schwierig, SPF-Lookup-Limit-bezogene Zustellbarkeitsprobleme zu identifizieren.
-Beachten Sie, dass es nicht nur wegen des DNS-Lookup-Limits, sondern auch aus anderen Gründen zu einer Fehlermeldung kommen kann. Wenn Sie also einen Permerror als SPF-Validierungsergebnis in einem DMARC-Bericht sehen, kann es sich um ein DNS-Lookup-Limit-Problem handeln, aber auch um ein anderes Problem mit Ihrer SPF-Richtlinie (z. B. einen fehlerhaften Datensatz). Sie können unseren kostenlosen SPF-Validator verwenden, um zu prüfen, ob Ihr DNS-Richtlinien-Datensatz gültig ist; er gibt auch die maximal erforderlichen Abfragen an.
-Wie lässt sich die Anzahl der erforderlichen Suchvorgänge reduzieren?
-Der Grenzwert von 10 zusätzlichen Suchvorgängen ist recht niedrig. Die Art und Weise, wie Unternehmen heute E-Mails nutzen, unterscheidet sich deutlich von der Situation im Jahr 2006, als der erste SPF-Standard in RFC4408 (inzwischen durch RFC7208 ersetzt) festgelegt wurde. Unternehmen können verschiedene Cloud-basierte E-Mail-Dienste mit einer einzigen Domäne nutzen.
-Es kommt häufig vor, dass SPF-Richtlinien das SPF-Lookup-Limit überschreiten. Für einige Domänen kann es eine ziemliche Herausforderung sein, die Grenze von 10 Abfragen einzuhalten.
-Im Folgenden finden Sie einige Tipps, wie Sie die Anzahl der erforderlichen Abfragen reduzieren können:
-Ungenutzte Dienste entfernen
-Der einfachste Schritt besteht darin, Ihren SPF-Eintrag zu überprüfen und alle Dienste zu entfernen, die Sie nicht mehr verwenden. Überprüfen Sie Ihre Einträge auf alle Includes oder andere Mechanismen, die auf eine Domäne eines nicht mehr genutzten Dienstes verweisen.
-Entfernen Sie die Standard-SPF-Werte
-Die meisten Hosting-Dienste legen eine "Standard"-SPF-Richtlinie fest, wenn eine neue Domäne bereitgestellt wird. Der Standardwert ist normalerweise etwa v=spf1 a mx. Die meisten A/AAAA-DNS-Einträge werden für Webserver verwendet, die keine E-Mails versenden, so dass der a-Mechanismus möglicherweise nicht benötigt wird. Der mx-Mechanismus wird möglicherweise nicht benötigt, da mx für den Empfang von E-Mails gedacht ist, nicht unbedingt für den Versand, mehr zu diesem Thema weiter unten.
-Verwenden Sie nicht den ptr-Mechanismus
-Der ptr-Mechanismus wird vom aktuellen SPF RFC dringend abgeraten und sollte aufgrund verschiedener Sicherheits- und Zuverlässigkeitsprobleme nicht verwendet werden. Der ptr-Mechanismus kann zu einer starken Zunahme der erforderlichen Suchvorgänge führen, die Sie nicht kontrollieren können.
-Vermeiden Sie die Verwendung des mx-Mechanismus
-Der mx-Mechanismus ist besonders teuer in Bezug auf die erforderlichen Suchvorgänge (mehr dazu später). Möglicherweise müssen Sie mx nicht in Ihrer Richtlinie verwenden. Denken Sie daran, dass MX-Einträge (Mail eXchange) für den Empfang von E-Mails verwendet werden, nicht unbedingt für den Versand. Wenn Sie einen Cloud-basierten E-Mail-Dienst wie G-Suite oder Office 365 verwenden, sollte der include-Mechanismus verwendet und der mx-Mechanismus weggelassen werden.
-Verwenden Sie den ip4- oder ip6-Mechanismus, falls geeignet
-Die ip4- und ip6-Mechanismen erfordern keine zusätzlichen Suchvorgänge und sind daher "kostenlos" zu verwenden. Wenn Ihre Organisation ihre eigenen E-Mail-Dienste verwaltet, können Sie den ip4- und/oder ip6-Mechanismus verwenden, um die IP-Adressen dieser Dienste direkt festzulegen. Seien Sie sich bewusst, dass IP-Adressen subjektiv sind und sich ändern können, was einen höheren Wartungsaufwand für die Richtlinie bedeuten kann. Die ip4- und ip6-Mechanismen sind daher anfällig für Fehler, wenn sie nicht auf dem neuesten Stand gehalten werden.
-Verwenden Sie einen dynamischen SPF-Richtliniendienst
-Als letzten Ausweg können Sie einen "dynamischen" SPF-Richtliniendienst wie autoSPF verwenden. Im Allgemeinen raten wir davon ab, solche Dienste zu verwenden, da sie die Komplexität erhöhen und die E-Mail-Infrastruktur mit zusätzlichen Fehlerpunkten versehen.
-Datensätze NICHT glätten
-In verschiedenen Internetforen wird manchmal vorgeschlagen, SPF-Datensätze zu "glätten", um SPF-Abfragen zu reduzieren. Einige gehen sogar so weit zu behaupten, dass der "Ruf" Ihrer Domäne umso besser wird, je kürzer die Richtlinie ist. Wir haben absolut keinen Grund zu glauben, dass dies wahr ist, und raten dringend von dieser Praxis ab. Das Abflachen von SPF-Einträgen ist fehleranfällig und erfordert ständige Wartung. Wir haben sogar einen eigenen Artikel zu diesem Thema geschrieben.
-Überprüfen Sie Ihren Eintrag nach Änderungen
-Um Probleme mit der Zustellbarkeit zu vermeiden, sollten Sie Ihre SPF-Einträge immer validieren, wenn Sie Änderungen vornehmen, um sicherzustellen, dass die SPF-Richtlinie nicht mehr als 10 Abfragen zulässt.
-Der mx-Mechanismus ist teuer
-Der mx-Mechanismus von SPF ist ein besonders teurer Mechanismus, der in einer SPF-Richtlinie verwendet wird.
-Der mx-Mechanismus erlaubt jedem Absender, der mit einem der MX-DNS-Einträge der Domäne übereinstimmt, E-Mails im Namen der Domäne zu senden. Das Problem dabei ist, dass ein DNS MX-Eintrag einen Hostnamen und keine IP-Adresse enthält. Da E-Mail-Dienste über IP-Adressen kommunizieren, muss der Validator jeden MX-Eintrag nach A- (oder AAAA-) Einträgen abfragen, um eine Übereinstimmung zu finden.
-Nehmen Sie diesen einfachen SPF-Eintrag:
-v=spf1 mx -all
-Dieser Eintrag besagt, dass jeder Absender, der mit den MX-DNS-Einträgen der Domäne übereinstimmt, E-Mails im Namen der Domäne senden darf.
-Das bedeutet, dass der Validator:
-    einen MX-Lookup durchführen
-    MX liefert Domänennamen, keine IP-Adressen. Für jeden MX-Eintrag muss er also A- und/oder AAAA-Abfragen durchführen.
-Wenn die DNS-Abfrage für die Domäne 3 MX-Datensätze zurückgibt, erfordert diese scheinbar einfache SPF-Richtlinie 4 DNS-Abfragen, um sie vollständig zu iterieren.
-Bei großen Cloud-basierten E-Mail-Dienstanbietern wie G-Suite (GMail) oder Microsoft 365 ist es nicht ungewöhnlich, dass Sie bis zu 5 MX-Einträge zu Ihrer Domäne hinzufügen müssen. Aus diesem Grund werden Sie von diesen Diensten immer angewiesen, den SPF-Include-Mechanismus und nicht den mx-Mechanismus zu verwenden.
-Schlussfolgerung
-Der SPF-Standard RFC7208 schreibt vor, dass eine SPF-Richtlinie nicht mehr als 10 zusätzliche DNS-Lookups zur vollständigen Auswertung benötigen darf. Wenn ein Empfänger mehr als 10 Suchvorgänge durchführen muss, um die SPF-Richtlinie zu bewerten, schlägt die E-Mail-Nachricht die SPF-Validierung mit einem Permerror-Status fehl, was die Zustellung der E-Mail-Nachricht verhindern kann.
-Die SPF-DNS-Lookup-Grenze ist ein oft übersehener, aber wesentlicher Faktor für die Zustellbarkeit von E-Mails.
-Der Grenzwert von 10 Abfragen ist für die Art und Weise, wie E-Mails heutzutage genutzt werden, ein wenig veraltet. Mit dem Vormarsch der Cloud-basierten E-Mail-Dienste und Marketing-Plattformen wird diese Grenze leicht überschritten. Es muss darauf geachtet werden, dass der Grenzwert für die Abfrage nicht überschritten wird.
-Im Zweifelsfall sollten Sie Ihre SPF-Datensätze validieren, um sicherzustellen, dass die SPF-Richtlinie nicht mehr als 10 Abfragen zulässt.
-https://www.rfc-editor.org/rfc/rfc4408
-https://www.rfc-editor.org/rfc/rfc6652
-https://www.rfc-editor.org/rfc/rfc7208#section-4.6.4
-https://www.kitterman.com/spf/validate.html
-https://www.spf-record.de/spf-lookup/
-https://dmarcian.com/spf-survey/
-https://mxtoolbox.com/SuperTool.aspx
-nausch@ecmmai04:~$ dig TXT lists.nausch.org +short
-"v=spf1 include:_spf.blk1.nausch.org include:_spf.blk2.nausch.org ip4:217.92.13.131/32 ip4:88.217.171.167/32 ~all"
-nausch@ecmmai04:~$ dig TXT spf.blk1.nausch.org +short
-nausch@ecmmai04:~$ dig TXT _spf.blk1.nausch.org +short
-"v=spf1 ip4:185.176.165.36/32 ip4:185.176.166.36/32 ip4:185.176.165.46/32 ip4:185.176.166.46/32 ip4:185.176.165.47/32 ip4:185.176.166.47/32 ip4:185.176.165.48/32 ip4:185.176.166.48/32  ~all"
-nausch@ecmmai04:~$ dig TXT _spf.blk2.nausch.org +short
-"v=spf1 ip4:185.176.165.50/32 ip4:185.176.166.50/32 ~all"
-$ORIGIN .
-$TTL 86400      ; 1 day
-nausch.org              IN SOA  ns1.core-networks.de. hostmaster.core-networks.de. (
-                                2022112114 ; serial
-      ; refresh (8 hours)
-       ; retry (2 hours)
-     ; expire (1 week)
-      ; minimum (1 day)
-                                )
-                        NS      ns1.core-networks.de.
-                        NS      ns2.core-networks.eu.
-                        NS      ns3.core-networks.com.
-                        A       217.92.13.131
-                        MX      10 mx1.nausch.org.
-                        MX      20 mx1.tachtler.net.
-                        TXT     "v=spf1 ip4:217.92.13.131/32 mx ?all "
-                        TXT     "google-site-verification=oghnZ6HahxTGKkknsap_i-iX8nMi9iz0n6ArEvxuLFA"
-                        CAA     0 iodef "mailto:webmaster@nausch.org"
-                        CAA     0 issue "globalsign.com"
-$ORIGIN nausch.org.
-$TTL 60 ; 1 minute
-_spf.blk1               TXT     "v=spf1 ip4:185.176.165.36/32 ip4:185.176.166.36/32 ip4:185.176.165.46/32 ip4:185.176.166.46/32 ip4:185.176.165.47/32 ip4:185.176.166.47/32 ip4:185.176.165.48/32 ip4:185.176.166.48/32  ~all"
-_spf.blk2               TXT     "v=spf1 ip4:185.176.165.50/32 ip4:185.176.166.50/32 ~all"
-$ORIGIN nausch.org.
-$TTL 86400      ; 1 day
-lists                   A       217.92.13.131
-                        MX      10 mx1
-$TTL 60 ; 1 minute
-                        TXT     "v=spf1 include:_spf.blk1.nausch.org include:_spf.blk2.nausch.org ip4:217.92.13.131/32 ip4:88.217.171.167/32 ~all"
-$ORIGIN lists.nausch.org.
-$TTL 86400      ; 1 day
-_dmarc                  TXT     "v=DMARC1; p=none; pct=100; rua=mailto:dmarc-reports@nausch.org; ruf=mailto:dmarc-fails@nausch.org;"
-._domainkey       TXT     "v=DKIM1; p=" "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAuJ3/CruOs3fCU0ujOStc" "NN85TJh+5HvMa9m99C5XuRBlxOr+fp5BeIEtiPO0szKvvPojwrueCq0oOuEzjR/i" "2ObpRkzKRUXmAa0qVezUZwQIbKeiuKII0PnpQclDrmQrzSXcQWPT57tkPg17Q9Wa" "mFUUaHeN3+pVGtMyjYekRaAoRlV+a1gD111kXMPhiaFTMIncoRBS/gYN8FjfekH+" "ezqbLHLB8DLJQBZEGUILvJjAHX0722XyqYtkn1qfv63nPRGw/qqAW1072Gchq4ZS" "4ZPQ89SrK4KcHt/XptSlztXMWtmRFQriHdvbjr1Fx7ZwXdTQ+ik2AUZLMdhMrQe6" "/1GujQiMD6po81NpYbrjnfd+QF4sUbus4wPQKVNzsctiuzGlWsFexSHP4dAZtKnI" "mJhVDnzZODQy0nSafedlr5g4VR36vgm0YPWjSyRNnC/APHyw0DtHIrzTqfKuDeGv" "80uMPbEdujrw9gLbK3H8ow42iTicmgPgT3J5j70ZOo4o4FMtpZ/AEQw+VnWpSfw7" "bkMjufLc29XHbtp22wfgq2Lmarr3+psaHokFaQrImkMbzdSL9CdabkLptanAilLS" "cvq8UaKVC+G1+vHDgaweq3BhXD5+YcJnJlp4msUqqxGYlnx4RSvv8PipMU2DsVFb" "NJSH5NJuS7GuzplNg+f20ysCAwEAAQ=="
-_443._tcp               TLSA    1 0 2 (
-                                B33B1EAFECD656937BB9064867D93F89B79E370C0A7E
-                                DB40F355D7F56EBB0DECCCCD60B8E16BBF5A1634F260
-                                C74DADD43C097223A3082B039DCAD34E7668CF93 )
-$ORIGIN mta-sts.nausch.org.
-_443._tcp               TLSA    1 0 2 (
-                                B33B1EAFECD656937BB9064867D93F89B79E370C0A7E
-                                DB40F355D7F56EBB0DECCCCD60B8E16BBF5A1634F260
-                                C74DADD43C097223A3082B039DCAD34E7668CF93 )
-$ORIGIN nausch.org.
-mx1                     A       217.92.13.131
-$ORIGIN mx1.nausch.org.
-$TTL 3600       ; 1 hour
-_25._tcp                TLSA    3 0 1 (
-EB0A8D2F1911BBDF8D31B9ACDD8010AB13C983B7D8
-                                C3E4355B0D23088EE1F9 )
-                        TLSA    3 0 1 (
-B17770E54AC2FCB79F5D2B146ED2F9BEC01FEB3
-D6B612D52C0E51538E9 )
-*/
 ===== SPF-Bewertung bei der Mailannahme =====
 Neben der Befragung von [[centos:mail_c6:mta_3?&#access-dateien|Black-/White-Listen]], dem Nutzen von  [[centos:mail_c7:spam_3|Postscreen]] oder [[centos:mail_c7:spam_1|greylisting]] und [[centos:mail_c7:spam_2|policyd-weight]], können wir auch **SPF** bei der Bewertung von eingehenden Sendungen heranziehen.
@@ Zeile 413: / Zeile 214: @@
 ==== Konfiguration ====
-Die Konfiguration des **smf-spf**-Daemons gestaltet sich vergleichsweise einfach und erfolgt lediglich mit Hilfe Der Datei //**/etc/mail/smfs/smf-spf.conf**//. In der Default-Konfiguration wird der Daemon über einen UNIX-Datei-Socket angesprochen. Diesen Parameter **Socket** weisen wir einem localen Port zu, über den wir später von Postfix aus, den SPF-Milter ansprechen wollen.
+Die Konfiguration des **smf-spf**-Daemons gestaltet sich vergleichsweise einfach und erfolgt lediglich mit Hilfe Der Datei //**/etc/mail/smfs/smf-spf.conf**//. In der Default-Konfiguration wird der Daemon über einen UNIX-Datei-Socket angesprochen. Diesen Parameter **Socket** weisen wir einem lokalen Port zu, über den wir später von Postfix aus, den SPF-Milter ansprechen wollen.
 Mit unserem Editor der Wahl, z.B. **vim** bearbeiten wir diese Konfigurationsdatei.
@@ Zeile 531: / Zeile 332: @@
 </file>
-In der Konfigurationsdatei **main.cf** unseres Postfix-Mailserver definieren wir uns nun eine eigene Variable, die wir dann in der Datei //**/etc/postfix/master.cf**// dann verwenden wollen. Wir tragen also nun in der Section **MILTER**e nachfolgende Zeilen ein.
+In der Konfigurationsdatei **main.cf** unseres Postfix-Mailserver definieren wir uns nun eine eigene Variable, die wir dann in der Datei //**/etc/postfix/master.cf**// dann verwenden wollen. Wir tragen also nun in der Section **MILTER** nachfolgende Zeilen ein.
    # vim /etc/postfix/main.cf
 <file bash /etc/postfix/main.cf>...
@@ Zeile 566: / Zeile 367: @@
    # systemctl status smf-spf
-<code>smf-spf.service - Sender Policy Framework milter
+<html><pre class="code">
+<font style="color: rgb(0, 255, 0)"><b>● </b></font>smf-spf.service - Sender Policy Framework milter
    Loaded: loaded (/usr/lib/systemd/system/smf-spf.service; disabled)
-   Active: active (running) since Wed 2014-12-17 14:05:12 CET; 40min ago
+   Active: <font style="color: rgb(0, 255, 0)"><b>active (running)</b></font>since Wed 2014-12-17 14:05:12 CET; 40min ago
   Process: 19140 ExecStart=/usr/sbin/smf-spf (code=exited, status=0/SUCCESS)
  Main PID: 19141 (smf-spf)
@@ Zeile 574: / Zeile 376: @@
            └─19141 /usr/sbin/smf-spf
-Dec 17 14:05:12 vml000087.dmz.nausch.org systemd[1]: Started Sender Policy Framework milter
+Dec 17 14:05:12 vml000087.dmz.nausch.org systemd[1]: Started Sender Policy Framework milter</font>
-</code>
+</pre>
+</html>
 Im Maillog wird der Start des Daemon entsprechend dokumentiert.
@@ Zeile 583: / Zeile 385: @@
    Dec 17 14:05:12 vml000087 smf-spf[19140]: starting smf-spf 2.0.2 listening on inet:8890@127.0.0.1
    Dec 17 14:05:12 vml000087 smf-spf[19140]: running as uid: 993, gid: 99
 Mit Hilfe von **netstat** können wir überprüfen, ob der Port **8890** geöffnet wurde.
@@ Zeile 628: / Zeile 429: @@
    Authentication-Results: mx01.nausch.org; spf=fail smtp.mailfrom=<newsletter@aktuell.erwinmueller.de> smtp.helo=mx1.tachtler.net
-Zum Testen des SPF-Records kann man auch auf Dienste im WWW zurückgreifen. So kann man seinen SPF-Record z.B. über den **[[http://spf.myisp.ch/|SPF Record Checker]]** überprüfen lassen.
+Zum **[[#testing-tools|Testen des SPF-Records]]** kann man auch auf Dienste im WWW zurückgreifen.
-{{ :centos:mail_c7:spf.myisp.ch.png?800 |Bild: Ergebnisseite eines SPF-Scans auf der Seite http://spf.myisp.ch/}}
-Alternativ dazu bietet sich auch kitterman's **[[http://www.kitterman.com/spf/validate.html|SPF Record Testing Tools - SPF Query Tool]]** an.
 ===== SRS - Sender Rewriting Scheme =====
-Zu Beginn dieses Artikels wurde bereits darauf hingewiesen, dass mit unter Probleme bei Mailumleitungen und/oder WebFormularen auftauchen können. Mit **SRS**((**S**ender **R**ewriting **S**cheme)) kann ein Mailserver die eMail-Adresse im Envelop umschreiben und anpassen. Eine genauere Beschreibung zu SRS ist im Kapitel **[[centos:mail_c7:spam_11|SRS - Sender Rewriting Scheme]]** zu finden.
+Zu Beginn dieses Artikels wurde bereits darauf hingewiesen, dass mit unter Probleme bei Mailumleitungen und/oder Web-Formularen auftauchen können. Mit **SRS**((**S**ender **R**ewriting **S**cheme)) kann ein Mailserver die eMail-Adresse im Envelop umschreiben und anpassen. Eine genauere Beschreibung zu SRS ist im Kapitel **[[centos:mail_c7:spam_11|SRS - Sender Rewriting Scheme]]** zu finden.
 ====== Links ======