| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| centos:mail_c7:spam_10 [25.11.2022 16:29. ] – django | centos:mail_c7:spam_10 [27.11.2022 20:56. ] (aktuell) – django |
|---|
| Beim **SPF** wird ein TXT-Record in der Zonendatei im DNS der betreffenden (Mail)Domain eingetragen. Dort wird definiert, welche SMTP-Server berechtigt sind, Nachrichten der (Mail)Domain zu verschicken. Mailserver können dann bei der Annahme der eMails abfragen, ob der sendende Mailserver überhaupt berechtigt ist, diese Nachricht zu verschicken. So soll bzw. kann mit Hilfe von SPF versucht werden, Absenderadressfälschungen - eine Form des eMail-Identitätsbetrugs - zu verhindern. SPAM kann aber mit Hilfe des Sender Policy Framework nicht direkt bekämpft werden! | Beim **SPF** wird ein TXT-Record in der Zonendatei im DNS der betreffenden (Mail)Domain eingetragen. Dort wird definiert, welche SMTP-Server berechtigt sind, Nachrichten der (Mail)Domain zu verschicken. Mailserver können dann bei der Annahme der eMails abfragen, ob der sendende Mailserver überhaupt berechtigt ist, diese Nachricht zu verschicken. So soll bzw. kann mit Hilfe von SPF versucht werden, Absenderadressfälschungen - eine Form des eMail-Identitätsbetrugs - zu verhindern. SPAM kann aber mit Hilfe des Sender Policy Framework nicht direkt bekämpft werden! |
| |
| Nachfolgende Skizze zeigt exemplarisch auf, wo genau SPF beim Verarbeiten einer eMail beim Kommunikationsaufbau und -ablauf zweier **MTA**((**M**ail**T**ransport**A**gent)) das **SPF** zum Tragen kommt. Sobald eine eMail von einem Mailserver empfangen wird, benutzt dieses das SPF um festzustellen, ob das sendende System (MTA) dazu berechtigt ist. Besteht der Absender die SPF-Prüfung nicht, wird die Annahme der Nachricht je nach Konfiguration abgelehnt, zugestellt und|oder ggf. als Spam bzw. Betrug gekennzeichnet. | Nachfolgende Skizze zeigt exemplarisch auf, wo genau SPF beim Verarbeiten einer eMail beim Kommunikationsaufbau und -ablauf zweier **MTA**((**M**ail **T**ransport **A**gent)) das **SPF** zum Tragen kommt. Sobald eine eMail von einem Mailserver empfangen wird, benutzt dieses das SPF um festzustellen, ob das sendende System (MTA) dazu berechtigt ist. Besteht der Absender die SPF-Prüfung nicht, wird die Annahme der Nachricht je nach Konfiguration abgelehnt, zugestellt und|oder ggf. als Spam bzw. Betrug gekennzeichnet. |
| |
| <uml> | <uml> |
| |
| ==== DNS Lookup Limitierung ==== | ==== DNS Lookup Limitierung ==== |
| Abhängig von den verwendeten **[[#mechanismus|Mechanismen]]** oder auch **[[|]]** müssen in aller Regel zur Evaluierung der Bewertung der IP-Adresee des einliefernden SMTP-Clients weitere DNS-Anfragen durchgeführt werden. Im [[https://www.rfc-editor.org/rfc/rfc7208#section-4.6.4|RFC 7208]] finden sich ausführliche Hinweise zu den Limitierungen beim DNS-Lookup im Bezug auf unsere SPF-Definitionen. | Abhängig von den verwendeten **[[#mechanismus|Mechanismen]]** oder auch **[[#modifikator|Modifikatoren]]** müssen in aller Regel zur Evaluierung der Bewertung der IP-Adresee des einliefernden SMTP-Clients weitere DNS-Anfragen durchgeführt werden. Im [[https://www.rfc-editor.org/rfc/rfc7208#section-4.6.4|RFC 7208]] finden sich ausführliche Hinweise zu den Limitierungen beim DNS-Lookup im Bezug auf unsere SPF-Definitionen. |
| |
| Haben wir wie [[#erweiterungen_um_weitere_mechanismen|in diesem Beispiel]] den Mechanismus **''a''** verwendet, muss bei einer Prüfung der verwendete Daemon nicht nur einen TXT-Record im DNS erfragen, sondern zusätzlich noch eine A- (oder AAAA-) DNS-Abfrage für die Domäne durchführen. Beim Mechanismus **''mx''** können das, ja nach Anzahl der im MX-Record hinterlegten MX-Einträge dann einen oder auch mehrere zusätzliche A- (oder AAAA-) DNS-Abfrage nach sich ziehen. Im Falle z.B. von mailbox.org mit den hinterlegten 4 Mailservern wären das dann vier zusätzliche DNS-Anfragen. | Haben wir wie [[#erweiterungen_um_weitere_mechanismen|in diesem Beispiel]] den Mechanismus **''a''** verwendet, muss bei einer Prüfung der verwendete Daemon nicht nur einen TXT-Record im DNS erfragen, sondern zusätzlich noch eine A- (oder AAAA-) DNS-Abfrage für die Domäne durchführen. Beim Mechanismus **''mx''** können das, ja nach Anzahl der im MX-Record hinterlegten MX-Einträge dann einen oder auch mehrere zusätzliche A- (oder AAAA-) DNS-Abfrage nach sich ziehen. Im Falle z.B. von mailbox.org mit den hinterlegten 4 Mailservern wären das dann vier zusätzliche DNS-Anfragen. |
| | **''all''** | 0 | **''exp''** | 0 | | | **''all''** | 0 | **''exp''** | 0 | |
| | **''exists''** | 1 | **''redirect''** | 1 | | | **''exists''** | 1 | **''redirect''** | 1 | |
| | **''include''** | ≥ 1 | | | | | **''include''** | ≥ 1 | | | |
| | **''ip4''** | 0 | | | | | **''ip4''** | 0 | | | |
| | **''ip6''** | 0 | | | | | **''ip6''** | 0 | | | |
| | **''include''** | ≥ 1 | | | | | **''include''** | ≥ 1 | | | |
| | **''mx''** | ≥ 1 | | | | | **''mx''** | ≥ 1 | | | |
| | **''ptr''** | ≥ 1 | | | | | **''ptr''** | ≥ 1 | | | |
| |
| Sehen wir uns nun den SPF-Record **''lists.nausch.org''** genauer an und gehen detailliert auf die einzelnen Werte ein. | Sehen wir uns nun den SPF-Record **''lists.nausch.org''** genauer an und gehen detailliert auf die einzelnen Werte ein. |
| |
| ==== Konfiguration ==== | ==== Konfiguration ==== |
| Die Konfiguration des **smf-spf**-Daemons gestaltet sich vergleichsweise einfach und erfolgt lediglich mit Hilfe Der Datei //**/etc/mail/smfs/smf-spf.conf**//. In der Default-Konfiguration wird der Daemon über einen UNIX-Datei-Socket angesprochen. Diesen Parameter **Socket** weisen wir einem localen Port zu, über den wir später von Postfix aus, den SPF-Milter ansprechen wollen. | Die Konfiguration des **smf-spf**-Daemons gestaltet sich vergleichsweise einfach und erfolgt lediglich mit Hilfe Der Datei //**/etc/mail/smfs/smf-spf.conf**//. In der Default-Konfiguration wird der Daemon über einen UNIX-Datei-Socket angesprochen. Diesen Parameter **Socket** weisen wir einem lokalen Port zu, über den wir später von Postfix aus, den SPF-Milter ansprechen wollen. |
| |
| Mit unserem Editor der Wahl, z.B. **vim** bearbeiten wir diese Konfigurationsdatei. | Mit unserem Editor der Wahl, z.B. **vim** bearbeiten wir diese Konfigurationsdatei. |
| </file> | </file> |
| |
| In der Konfigurationsdatei **main.cf** unseres Postfix-Mailserver definieren wir uns nun eine eigene Variable, die wir dann in der Datei //**/etc/postfix/master.cf**// dann verwenden wollen. Wir tragen also nun in der Section **MILTER**e nachfolgende Zeilen ein. | In der Konfigurationsdatei **main.cf** unseres Postfix-Mailserver definieren wir uns nun eine eigene Variable, die wir dann in der Datei //**/etc/postfix/master.cf**// dann verwenden wollen. Wir tragen also nun in der Section **MILTER** nachfolgende Zeilen ein. |
| # vim /etc/postfix/main.cf | # vim /etc/postfix/main.cf |
| <file bash /etc/postfix/main.cf>... | <file bash /etc/postfix/main.cf>... |
| # systemctl status smf-spf | # systemctl status smf-spf |
| |
| <code>smf-spf.service - Sender Policy Framework milter | <html><pre class="code"> |
| | <font style="color: rgb(0, 255, 0)"><b>● </b></font>smf-spf.service - Sender Policy Framework milter |
| Loaded: loaded (/usr/lib/systemd/system/smf-spf.service; disabled) | Loaded: loaded (/usr/lib/systemd/system/smf-spf.service; disabled) |
| Active: active (running) since Wed 2014-12-17 14:05:12 CET; 40min ago | Active: <font style="color: rgb(0, 255, 0)"><b>active (running)</b></font>since Wed 2014-12-17 14:05:12 CET; 40min ago |
| Process: 19140 ExecStart=/usr/sbin/smf-spf (code=exited, status=0/SUCCESS) | Process: 19140 ExecStart=/usr/sbin/smf-spf (code=exited, status=0/SUCCESS) |
| Main PID: 19141 (smf-spf) | Main PID: 19141 (smf-spf) |
| └─19141 /usr/sbin/smf-spf | └─19141 /usr/sbin/smf-spf |
| |
| Dec 17 14:05:12 vml000087.dmz.nausch.org systemd[1]: Started Sender Policy Framework milter | Dec 17 14:05:12 vml000087.dmz.nausch.org systemd[1]: Started Sender Policy Framework milter</font> |
| </code> | </pre> |
| | </html> |
| |
| Im Maillog wird der Start des Daemon entsprechend dokumentiert. | Im Maillog wird der Start des Daemon entsprechend dokumentiert. |
| Dec 17 14:05:12 vml000087 smf-spf[19140]: starting smf-spf 2.0.2 listening on inet:8890@127.0.0.1 | Dec 17 14:05:12 vml000087 smf-spf[19140]: starting smf-spf 2.0.2 listening on inet:8890@127.0.0.1 |
| Dec 17 14:05:12 vml000087 smf-spf[19140]: running as uid: 993, gid: 99 | Dec 17 14:05:12 vml000087 smf-spf[19140]: running as uid: 993, gid: 99 |
| |
| |
| Mit Hilfe von **netstat** können wir überprüfen, ob der Port **8890** geöffnet wurde. | Mit Hilfe von **netstat** können wir überprüfen, ob der Port **8890** geöffnet wurde. |
| Zum **[[#testing-tools|Testen des SPF-Records]]** kann man auch auf Dienste im WWW zurückgreifen. | Zum **[[#testing-tools|Testen des SPF-Records]]** kann man auch auf Dienste im WWW zurückgreifen. |
| ===== SRS - Sender Rewriting Scheme ===== | ===== SRS - Sender Rewriting Scheme ===== |
| Zu Beginn dieses Artikels wurde bereits darauf hingewiesen, dass mit unter Probleme bei Mailumleitungen und/oder WebFormularen auftauchen können. Mit **SRS**((**S**ender **R**ewriting **S**cheme)) kann ein Mailserver die eMail-Adresse im Envelop umschreiben und anpassen. Eine genauere Beschreibung zu SRS ist im Kapitel **[[centos:mail_c7:spam_11|SRS - Sender Rewriting Scheme]]** zu finden. | Zu Beginn dieses Artikels wurde bereits darauf hingewiesen, dass mit unter Probleme bei Mailumleitungen und/oder Web-Formularen auftauchen können. Mit **SRS**((**S**ender **R**ewriting **S**cheme)) kann ein Mailserver die eMail-Adresse im Envelop umschreiben und anpassen. Eine genauere Beschreibung zu SRS ist im Kapitel **[[centos:mail_c7:spam_11|SRS - Sender Rewriting Scheme]]** zu finden. |
| |
| ====== Links ====== | ====== Links ====== |
django