Blog: Min mailserver (del 5) – Min mailserver kan I stole på

December 6, 2013 by admin · Leave a comment

I del 2 af mailserver-serien efterlod jeg et hængeparti som Baldur Norddahl med rette efterlyste.
Spam kan bekæmpes i to ender – ved afsendelse og/eller ved modtagelse.
Ud over de klassiske metoder med spam-filtrering, så er der et interessant trekløver
SPF, DKIM og DMARC jeg beskriver nedenfor.

SPF handler om at vi fra DNS for dmænet beskriver hvilke maskiner, der lovligt må sende emails for domænet.
Kommer en mail fra mit domæne “petertoft.dk” fra en kinesisk IP-adresse, så synes jeg man skal smide emailen væk.

DKIM strammer skruen lidt mere ved at alle emails, der sendes fra domænets mail-server får en digital signatur i mail-headeren.
Signaturen kan checkes ud fra informationer som gemmes i DNS for domænet. Passer eller mangler de digitale signaturer, så kan modtager smide mailen væk.

DMARC bygger ovenpå SPF og DKIM ved at man kan publicere råd om hvordan modtager af emails fra min domæne “petertoft.dk” skal behandles ud fra hvor langt man er med DKIM.

Et overblik kan findes på dette link

Tidligere i min mail-server serie har jeg skrevet om et fiktivt domæne. I denne artikel skifter jeg til et faktisk domæne “petertoft,dk” – mit domæne, der har styret DNS-mæssigt hos GratisDNS.dk

SPF

En stor del af problemet med email-spam er at som udgangspunkt, så kan alle lege “pto@petertoft.dk” som afsender.
Vi kan blokerere for at andre end mail-serveren for “petertoft.dk” domænet sender emails lovligt.

Ideen er at en modtager kan slå op i DNS for domænet og bede om min “Sender Policy Framework” (SPF)
og se hvilke afsender-maskiner er lovlige. Det er op til hver mail-server om det anvendes.

I DNS for domænet tilføjer jeg for domænet “petertoft.dk” et TXT felt:

Dvs. at det kun er MX (mail-servere) for domænet som kan få lov til at sende emails fra domænet.
“~all” betyder at emails, som kommer fra andet end “petertoft.dk” (vores mail-server – den der har MX-recorden i DNS) er nok spam.

Jeg kan stramme den ved at anvende “-all” fremfor “~all” – det er en anbefaling af, at man smider emails fra domænet “petertoft.dk” væk med mindre de kommer fra mail-serveren.

En fuld syntax kan læses her.

Bemærk at mit nye SPF felt også gør, at jeg ikke bare kan anvende Gmail eller andre web-services for domænet hvor jeg tidligere skødeløst ændrede identitet.
Det er netop den slags tricks jeg vil modvirke. There is no free lunch…

DKIM

Der er mange vejledninger på nettet om at få sat DKIM op og de fleste jeg har prøvet virker ikke længere på Debian Linux.
Jeg har dog fundet en glimrende vejledning til at sætte OpenDKIM op – og den er fin og det giver ingen mening at jeg “genskriver den” her.
Det er en lille software-server man installerer og starter op. Den kan bl.a. signere emails, der sendes ud fra maskinen.

Læs selv http://linuxaria.com/howto/using-opendkim-to-sign-postfix-mails-on-debian – og husk at “example.com” skal erstattes med dit eget domænenavn over alt i hans eksempel.

Dog skriver skribenten at man i DNS skal opsætte

Jeg havde mere held med at udelade “h=rsa-sha256;” i min DNS-record (som også nævnt her) når jeg har testet mit setup (se nedenfor).

Dvs. jeg har for petertoft.dk

DMARC

DMARC er en DNS-record man publicerer til andre mail-servere. Der er en fin beskrivelse f.eks. på dette link fra Google og en lille intro her

Jeg er selv lige gået i gang med DMARC, dvs. jeg skal til at stramme skruen som anbefalet af Google-linket.
Det som også er smart med DMARC er at man kan anmode modtager-mailservere om at sende rapporter tilbage om mails afsende kan valideres korrekt. Når alt er vel kan man stramme reglerne.
Har I kære læsere flere erfaringer med dette?

Check og samlet DNS opsætning af DKIM, SPF og DMARC

Jeg har haft stor glæde af at kunne teste SPF og meget andet på http://www.dnsinspect.com/ – se dette link for petertoft.dk

Og DKIM er nemt testet på http://www.brandonchecketts.com/emailtest.php

Til sammen har jeg pt. følgende DNS opsætning i TXT-felterne – billedet er fra gratisdns.dk (tak til Peter Larsen for en fantastisk (og gratis) service :-)

Næste afsnit kommer til at handle om SSL-sikret webmail, IMAPS og sikker SMTP.

Kommentarer er meget velkomne :-)

/pto

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>