SPF und DKIM auf Postfix einrichten

Vertrauenswürdig

Viele Unternehmen wollen die Kontrolle über Ihre E-Mails in die eigenen Hände nehmen und betreiben deswegen einen eigenen Mailserver. In einem solchen Fall sind jedoch einige grundlegende sicherheitsrelevante Einstellungen unbedingt Pflicht. Der Open-Source-Tipp in diesem Monat schaut sich an, was es mit den beiden Technologien SPF und DKIM auf sich hat und wie Sie diese auf einem Postfix-Server einsetzen.
Die Zusammenarbeit in Unternehmen steht seit anderthalb Jahren auf dem Kopf. Entsprechend groß sind die Herausforderungen für die IT-Abteilungen. In der ... (mehr)

Die Kommunikation über E-Mail ist heutzutage in nahezu jedem Umfeld zum Standard geworden. Um so wichtiger ist es von daher auch sicherzustellen, dass der eigene Mailserver aktuelle Sicherheits-Technologien korrekt einsetzt. Das Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) gehören somit unbedingt zur Standardkonfiguration eines jeden Mailservers.

Das Sender Policy Framework basiert auf der Idee, dass E-Mails von einer bestimmten Domäne lediglich von bestimmten Hosts eingeliefert werden dürfen. Dabei handelt es sich um die autorisierten Mailserver, die für diese Domäne zuständig sind. Mithilfe eines Eintrags im Domain Name Systems (DNS) für diese Domäne wird eine Liste dieser autorisierten Systeme veröffentlicht.

Andere Mailserver können dann durch eine DNS-Abfrage überprüfen, ob der einlieferende Host in dieser Liste aufgeführt ist. Ist dies der Fall, ist sichergestellt, dass es sich um einen autorisierten Mailserver für diese Domäne handelt. Im Fehlerfall lässt sich die E-Mail entweder abweisen oder als nicht authentifiziert markieren.

Eine DKIM-Implementierung stellt sicher, dass eine Nachricht auch auf dem Weg vom Absender in das Postfach des Empfängers nicht verändert wurde. Mailserver, die DKIM unterstützen, erzeugen hierfür eine digitale Signatur für jede Nachricht. Hierzu ist ein asymetrisches Schlüsselpaar notwendig, wovon der private Schlüsselteil dann für das Signieren der Nachricht zum Einsatz kommt.

Der öffentliche Teil des Schlüssels ist wieder im DNS veröffentlicht, sodass andere Mailserver diesen abfragen können, um damit die Signatur von eingehenden Nachrichten und damit die Integrität zu überprüfen.

DNS-Konfiguration für SPF und DKIM

Neben der Konfiguration des Mailservers sind auch Änderungen im DNS vorzunehmen. Betreiben Sie einen eigenen DNS-Server, können Sie die notwendigen Einträge in der

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022