NorbertFe

vor 24 Minuten schrieb daabm:

Wir waren dem BSI auch dankbar... Donnerstag morgens den Fix dafür gebaut, Freitag morgen grad nochmal. Und nein, das ist bei uns keine "2 Klicks und fertig" Aktion :-(

Ihr Turnschuhadmins :p

Evtl. solltest du deine Infos etwas pseudonymisieren.

vor 1 Minute schrieb pischel:

Kann man den alten DC einfach raus löschen?

Kann und SOLLTE man tun. ;)

Viel passender für dein Problem wäre aber: https://support.google.com/a/answer/10032472?hl=de&ref_topic=2759254&sjid=17985928073998187619-EU

vor 58 Minuten schrieb magicpeter:

OK, und wieder ein neues Wort...    "dmarc Spezifikation"

Ja, denkst du das ist nicht spezifiziert und jeder dödel macht wie er sich das vorstellt, oder könnte da eine Spezifikation der Technik existieren?

vor 9 Minuten schrieb magicpeter:

Wie oft kommen denn diese DMARC Berichte?

Was sagt denn die dmarc Spezifikation dazu? 

Schön, dass du noch die Quelle für dein obiges Zitat mitlieferst. Warum nicht gleich? :/

vor 11 Minuten schrieb magicpeter:

Ich dachte mir ich muss den Allinkl-Server mit in die SPF aufnehmen, so wie auch Klicktipp mitaufgenommen habe damit der Server des Drittanbieters die E-Mails auch versenden kann. 

Na gut, dass du dmarc verstanden hast. ;) falsch ist es nicht, aber es ist eben nicht unbedingt wichtig, wenn man dmarc einsetzt.

zum Rest: was willst du mir damit sagen?

vor 19 Minuten schrieb magicpeter:

Wichtig:
v=spf1 mx a:w01e2bf9.kasserver.com include:kundenprovider.de include:spf.strold.io (Klicktipp) -all

Das is nicht wichtig und aufgrund von spf sogar unnötig. Man kann das zwar machen, aber es ist nicht wichtig.

bye

norbert

ps: hast du jetzt hier die Mail an deinen Kunden reinkopiert? ;)

Ich meinte eher, dass bei Cve für exchange on prem immer steht, dass man bei exo nichts machen müsse. ;)

vor 9 Minuten schrieb magicpeter:

Kannst du mir da einen Tip oder eine URL geben wo das genau beschreiben steht.

Nein, das steht alles mehr oder weniger hier im thread. Ich bin sicher du schaffst auch das.

Ok, und brauchtest du nen Dienstleister der dir den Eintrag erstellt hat? Mein Hinweis bezüglich des reportings war wohl zu undeutlich. p=none ist erstmal auch nur für die implementierungsphase sinnvoll, die du ohne reporting eigentlich nur bei trivialimgebungen nicht brauchst. Und bei trivialumgebungen kann man auch gleich auf andere Werte gehen. ;)

Hi,

weil ich grad drüber gestolpert bin. Mal ganz interessant zu lesen:

https://arstechnica.com/security/2023/07/microsoft-takes-pains-to-obscure-role-in-0-days-that-caused-email-breach/
 

im dazugehörigen MS Artikel wird auch nicht erwähnt, dass die on prem Variante nicht betroffen war/ist.

https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/

vor einer Stunde schrieb magicpeter:

DKIM SPF und DMARC funktionieren einwandfrei.

Echt? Wie hast du das denn so schnell festgestellt? Wie lautet denn jetzt der verwendete dmarc Record?

vor 3 Stunden schrieb magicpeter:

kunde1.smarthost123.de einrichten.

Dann werde ich den öffentlichen Schlüssel bei Domainfactory einrichten und den neuen Smarthost im Exchange einrichten.

Nö, denn der dkim Schlüssel ist dann ja kunde1.Smarthost123.de er muss aber Kunde.de sein.

hast du doch oben von all inkl selbst verlinkt. Du musst also die Domain des Kunden anlegen und dort dkim aktivieren. Aber ob das funktioniert wirst du dann schon merken.

Ich würde sagen, du liest dich mal ein, was die Provider dir bieten, die haben im Zweifel ja auch einen Support, der dir weiterhelfen kann (solange du deine Anforderungen klar formulierst). Ich mach jetzt Wochenende und denke nicht mehr an deinen Smarthost. ;)

Schönes Wochenende

Norbert

vor 18 Minuten schrieb magicpeter:

OK, dann hatte ich das falsch verstanden. Ich dachte ich lasse mir die beiden Schlüssel erstellen und trage dann den öffentlichen im DNS ein und den privaten in der E-Mail ( aber wo in der E-Mail )

 

Ich dachte du hast dich zu DKIM eingelesen? Es gibt zwei Stellen, das hast du korrekt erkannt. DNS da steht der public Key im sogenannten Selector. Und die Mail wird signiert und als Headerinfo steht dann der hash und der Selectorname (wo der public Key zum überprüfen des Hash-Wertes gefunden werden kann). Du kannst also den einen Teil nicht ohne den anderen konfigurieren. Beides einzeln bringt Fehler, die die Reputation und/oder die Zustellbarkeit deiner Mails verschlechtern.

WEnn also dein Smarthostanbieter (den du hier nicht genannt hast) das nicht kann, dann musst du entweder selbst versenden und die Signatur erzeugen (Exchange kann man das bspw. beibringen, oder auch einer Sophos SG), oder einen Smarthostanbieter finden, der sowas kann. Spontan fällt mir All-inkl ein, die zumindest DKIM Signatur immer mit als Option in der Domänenkonfiguration anzeigen. Aber da ich keine Smarthosts verwende, wirds schwer. Schau dir im Zweifel sowas wie Mailgun an, die sollten sowas auf jeden Fall ermöglichen. Wobei ich sowas im Allgemeinen lieber selbst in der Hand habe. Aber du wirst schon was passendes finden.

vor 18 Minuten schrieb magicpeter:

Sollte ich dann den Exchange besser direkt das Versenden der E-Mail erlauben und dann den DKIM...

Das wäre eine Möglichkeit. Siehe oben.

vor 18 Minuten schrieb magicpeter:

Ja, die https://powerdmarc.com/de/power-dmarc-pricing-policy/ bieten sowas doch an.

Nein tun sie nicht. Die bieten dir an, deine DMARC Reports aufzubereiten und entsprechend bereitzustellen. Zusätzlich bieten sie dir noch hosted MTA-STS (inklusive SMTP TLS Reporting) und hosted BIMI.

Anbieter wie diese gibt es einige, da sollte man ggf. auch vorher überlegen, welchen man sich erwählt. Man sollte aber tatsächlich daran nicht sparen, sonst hilft einem DMARC nämlich deutlich weniger, wenn niemand das DMARC Reporting auswertet.

vor 18 Minuten schrieb magicpeter:

Dann suche ich mir mal einen Smarhostanbieter mit DKim SPF, und DMARC Unterstützung.

Tu das.

Liest du eigentlich die Hinweise die ich dir hier schreibe? Falls nein, dann sag das einfach, dann brauch ich nicht mehr antworten. Nochmal der Smarthostbetreiber MUSS die DKIM Konfiguration ermöglichen. Tut er das nicht, dann kann er auch keine Schlüssel importieren, die du IRGENDWO erstellst. Denn dann wird er mit nahezu 100% Wahrscheinlichkeit keine ausgehende DKIM Signierung durchführen. Egal ob du dann dein Schlüsselmaterial bei dir per openssl, aufm Server oder bei DKIM-Config.ru erstellt hast. Jetzt verstanden?

vor 1 Minute schrieb magicpeter:

Ich suche jetzt einmal einen Anbieter der mir sichere DKIM Schlüssel erstellt.

Falsches Vorgehen. Du musst einen Smarthostanbieter suchen, der dir eine DKIM Konfiguration ermöglicht. Die Schlüssel sind BESTANDTEIL der Konfiguration!

Dazu _muss_ der Provider das aber unterstützen, dass du den DKIM Kram auch hinterlegen kannst. Und wenn er das unterstützt bietet er meist auch eine eigene ERstellungsmöglichkeit. Ich kenne bisher keinen, wo man sein Schlüsselmaterial irgendwo extern erzeugen muss.

vor 1 Minute schrieb magicpeter:

Der Smarthost auf dem Exchange versendet die E-Mails. Der Smarthsot der der SMTP-Server des Providers.

 

Ich interpretiere das mal als: Der Exchange sendet an den Smarthost des Providers?

Falls ja, dann muss der die DKIM Signaturkonfiguration bereitstellen. Ob das mittels CName (wie Microsoft das für Exchange Online macht) oder mittels Text Records mit selector und pub key erfolgt kann dir egal sein. Und die Aussage oben vom Provider bezieht auf eingehende DKIM Prüfung. Du brauchst aber ausgehende DKIM Signatur.

vor 1 Minute schrieb magicpeter:

Woher bekomme ich denn den öffentliche Schlüssel (public key) für den Record?

Wer versendet die Mails? Der Server muss die DKIM signatur an die Mail hängen. und der muss auch die DKIM Konfig erstellen. Der Rest ist dann pille palle.

Ach menno. Wer schaut denn schon in die Kommentare bei sowas. Ich hab das direkt aus dem CVE abgepinselt. ;)

vor 8 Minuten schrieb magicpeter:

Bitte beachten Sie: Es werden keine E-Mails abgelehnt, wenn die SPF/DKIM Prüfung anschlägt. Es wird lediglich der Header markiert!

Naja das is aber nur zutreffend für deinen Provider. Ansonsten kann das wohl jeder Empfänger für sich selbst entscheiden. ;)

vor 9 Minuten schrieb magicpeter:

Setzt ihr denn DKIM und DMARC ein?

selbstverständlich.

vor 9 Minuten schrieb magicpeter:

Ich suche mir jetzt einmal eine Anleitung wie das genau funktioniert und das einzurichten ist ohne das auf einmal keine E-Mails mehr ankommen oder zugestellt werden können 

 

Das ist schon mal ein guter Plan.

vor 9 Minuten schrieb magicpeter:

Oder hat einer von euch so was rum liegen...?

Klar, hier liegen jede Menge DKIM und DMARC Einträge rum. Willst einen haben? ;)

Hilft, wenn man sich als Dienstleister damit befaßt und sich das nicht vorkauen läßt. Im Fehlerfall stehst du dann nämlich wieder rum und fragst hier im Forum, ob und warum die Mail nicht ankommt. :/

Nein, das ist _kein_ Schreibfehler. ;) Die .exe heißt wirklich so.

"C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE"

vor 49 Minuten schrieb magicpeter:

DMARC wird von uns nicht unterstützt, Sie müssten daher über einen externen Dienstleister gehen, der Ihnen entsprechende Records erzeugt - hinterlegen geht aber auch hier als Nameserver-Eintrag (TXT).

Die Aussage liest sich irgendwie komisch. Dann geh mal zu einem externen Dienstleister der dir den DMARC Record erzeugt. Was is eigentlich mit DKIM?