magicpeter

Moin, wie bestimmt einige schon mitbekommen haben, beschäftige ich mich seit einer Woche mit der Einrichtung und dem Ablauf von DMARC, SPF und DKIM. Nachdem ich jetzt DMARC, SPF und DKIM sauber eingerichtet habe und die DMARC Policy noch auf None stehen habe würde mich jetzt einmal eure weitere Vorgehensweise interessieren. Ich habe verschiedene Tools zur Auswertung der Reporte mir angeschaut und nutze auch EasyDMARC – DMARC XML Report Analyzer - https://easydmarc.com Die Frage ist nur, wenn alles zuverlässig läuft. Also die E-Mails zuverlässig angekommen und alle E-Mail Versendung in der Firma, auch Newsletter, etc funktionieren, was soll ich dann noch mit den Reports anfangen? Laut DSGVO darf ich damit sowieso nix machen. Also, mein nächster Schritt wäre jetzt DMARC auf reject und SPF auf -ALL zu stellen. Damit wäre für mich die Einrichtung abgeschlossen. Was ist dann noch weiter zu machen?

Ich habe heute den DKIM Signer eingerichtet. Super Tool, hat sofort für alle 4 Domains funktioniert. DKIM auf dem Exchange Server einrichten DKIM Signing Agent for Microsoft Exchange Server https://github.com/Pro/dkim-exchange/wiki Download: https://github.com/Pro/dkim-exchange/releases Dokumentation: https://www.frankysweb.de/exchange-server-und-dkim/ https://www.der-windows-papst.de/wp-content/uploads/2020/08/DKIM-SIGNER-for-Exchange.pdf Check DKIM E-Mail senden an: check-auth@verifier.port25.com oder DKIM, SPF, SpamAssassin Email Validator https://dkimvalidator.com/ Damit kann dieser Thread geschlossen werden oder was Ihr auch immer damit macht. Besten Dank...

Alles klar. No Spam Proxy und Exchange Online kenne ich bereits. Das funktioniert gut damit.

Ja, das wäre auch eine Option. Kennst du da eine gute Lösung?

Alles klar. Ich hatte mich da vertan mit dem CU22 vom Exchange 2016. Der aktuelle CU vom Exchange 2019 ist ja CU13. Es wäre nur toll wenn es für so einen wichtigen Agenten auch immer eine aktuelle Version geben würde. Aber wie oben schon gesagt, hoffentlich findet sich jemand der das Tool weiter pflegt. Ich werde es jetzt einmal ausprobieren. Danke euch.

Super, das Tool werde ich einmal einrichten. Der Frank hat auch einmal genau beschrieben. https://www.frankysweb.de/exchange-server-und-dkim/ Danke euch das ist die Lösung. Ich hoffe es findet sich jemand der der Tool weiter pflegt. Release Date Version Change(s) 12.10.2021 3.3.4 New: Added support for Exchange 2016 CU22 (thanks MisterSausage) New: Added support for Exchange 2019 CU11 (thanks MisterSausage)

Interessant, laut Docu bis Ex 2019 CU11. Wir nutzen Ex2023 CU23 bis welcher CU hast du das im Einsatz? Ah, lese gerade das es bis CU22 läuft New: Added support for Exchange 2016 CU22

Moin Jan, danke für deinen Input. Das EXSBR hört sich wirklich gut an und scheint genau das zu sein was ich suche. Ich werde jetzt noch einmal unseren Firewall Anbieter Lancom fragen ob die nicht auch sowas können. Eine Anti-Spam-Lösung ist ja bereits dort aktiv und diese Firewall Lancom UF-260 kann soviel. Danke euch. Du signierst also seit mehreren Jahren E-Mails mit unterschiedlichen Domains mit einen DKIM Zertifikat auf einem Exchange Server? Das ist doch klasse. Und wie machst du das? Da bin ich jetzt echt mal gespannt.

Moin Norbert, jeder Sendeconnector hat einen eignen Smarthost von der jeweiligen Domain (aaa.com, bbb.com, ccc.com) sonst würde ja die DKIM Signatur nicht funktionieren. Das ist aber Schade das der Exchange da nicht kann. Wie realisiert man denn dann DMARC mit mehren Domains auf einen Exchange? Und warum gibt es dann mehrere Sendeconnectoren?

Moin, wir haben einen Kunden der hat in seiner Firma 3 E-Mail Domains mit dem er E-Mail empfängt und sendet. Jeder Benutzer hat diese 3 E-Mail Konten. Für jedes E-Mail Konto ist ein extra Exchange Konto eingerichtet. Jeder Benutzer hat also 3 Exchange Konten. Das klappt auch alles richtig gut. Der Kunde setzt einen Exchange 2019 ein. Jetzt integrieren wir DMARC bei dem Kunden und haben das Problem das wir nur für die Hauptdomain aaa.com die E-Mail DKIM signiert bekommen. Da ja alle nur über einen Sendeconnector mit einem Smarthost läuft. Meine Idee wäre jetzt, das man pro Domain einen Sendeconnector anlegt und die entsprechenden E-Mail werden dann mit dem entsprechenden Sendeconnector versendet. Somit kann jede E-Mail mit dem korrekten DKIM signiert werden. Folgende E-Mail Domains sind im Einsatz: aaa.com, bbb.com, ccc.com Sendeconnector aaa.com verwendet die E-Mails die als SMTP aaa.com haben Sendeconnector bbb.com verwendet die E-Mails die als SMTP bbb.com haben Sendeconnector ccc.com verwendet die E-Mails die als SMTP ccc.com haben Geht das so? Kann man das Exchange so beibringen?

Moin Jan, ja kann er.

Genau, ich dachte nur es könnte helfen. Da ich gerade DMARC bei uns aktiviert habe, aber noch mit p=None Policy. Es scheint alles zu funktionieren. E-Mails werden zugestellt. Ich wollte in der nächsten Woche auf p=quarantine Policy stellen. Verdoppeln Sie den Markenschutz mit DMARC Der größte Unterschied zwischen DMARC und Spam-Filtern ist, dass DMARC andere Personen vor gefälschten E-Mails schützt die Ihren Domainnamen verwenden. Wenn Sie einen Spam-Filter verwenden, werden nur Ihr Posteingang vor Phishing-E-Mails geschützt. DMARC verwendet E-Mail-Authentifizierungsprotokolle, um sicherzustellen, dass jeder Empfangsserver E-Mails blockiert, wenn ein Angreifer versucht, sich als Ihre Marke auszugeben und E-Mails zu senden. Verdoppeln Sie den Markenschutz mit DMARC Der größte Unterschied zwischen DMARC und Spam-Filtern ist, dass DMARC andere Personen vor gefälschten E-Mails schützt die Ihren Domainnamen verwenden. Wenn Sie einen Spam-Filter verwenden, werden nur Ihr Posteingang vor Phishing-E-Mails geschützt. DMARC verwendet E-Mail-Authentifizierungsprotokolle, um sicherzustellen, dass jeder Empfangsserver E-Mails blockiert, wenn ein Angreifer versucht, sich als Ihre Marke auszugeben und E-Mails zu senden.

Was ist die DMARC-Quarantäne? p=quarantine Policy [EXPLAINED] https://powerdmarc.com/de/what-is-dmarc-quarantine-policy/

So jetzt geht es an die Auswertung der DMARC Berichte RUA vs. RUF: Die Vielfalt der DMARC-Berichte https://dmarcadvisor.com/de/rua-vs-ruf/ DMARC XML to Human Converter https://eu.dmarcadvisor.com/dmarc-xml/ DMARC-Alignment https://dmarcadvisor.com/de/alignment/

Lese ich mir morgen durch. Danke Dir. Die DMARC Spezifikation wird noch erstellt.... und jetzt erst mal gute Nacht....

OK, und wieder ein neues Wort... "dmarc Spezifikation" Keine Ahnung. Wo wird diese denn konfiguriert? #### Auch eine schöne Anleitung Bevor Sie DMARC einrichten https://support.google.com/a/answer/10032674?hl=de

Gerne ;) Wie oft kommen denn diese DMARC Berichte?

Nichts, ich wollte nur noch mal zeigen das ich das auch verstanden habe So hier ist jetzt noch einmal eine gute und einfache 'Anleitung für DMARC. DMARC einrichten: Ein Schritt-für-Schritt-Leitfaden https://www.mailjet.com/de/blog/zustellbarkeit/dmarc-einrichten/

Es ging sich mir nur darum kasserver.com mit inculde funktionieren nicht, darum immer mit a: einbauen. Ich dachte mir ich muss den Allinkl-Server mit in die SPF aufnehmen, so wie auch Klicktipp mitaufgenommen habe damit der Server des Drittanbieters die E-Mails auch versenden kann. SPF ist eine Standardmethode zur E-Mail-Authentifizierung, bei der Absender die IP-Adressen von vertrauenswürdigen SMTP-Servern angeben, die von einer Domain aus versenden dürfen. Dieser Eintrag wird daraufhin von dem Eingangsserver geprüft, um die E-Mail zu validieren und an den Posteingang zu senden. Die Authentifizierung mit DKIM funktioniert hingegen über eine Signatur, die den DNS-Einträgen hinzugefügt und mit einem eigenen Schlüssel in Ihrem Nachrichtenheader überprüft wird.

Alles klar. Hier die Header die jetzt mit korrekter Signatur versendet werden. Authentication-Results: spf=pass (sender IP is 85.13.145.105) smtp.mailfrom=xxxxxxx.com; dkim=pass (signature was verified) header.d=xxxxxxxx.com;dmarc=pass action=none header.from=xxxxxxx.com;compauth=pass reason=100 Hier die Header die jetzt mit korrekter Signatur versendet werden. So jetzt noch einmal kurz zusammengefasst. Wenn dein Provider DKIM und DMARC nicht unterstütz kannst du über ein Allinkl Tarif für 4,99 mit 3 Domains deinen Exchange Server mit einem Smarthost ausstatten der das kann. 1. Tarif bei allinkl Buchen (der kleine Webhosting Tarif reicht aus (Privat Tarif heißt der) 2. Deine Kundendomain dort im KAS unter Domains anlegen. (Die Domain muss nicht transferiert werden. Sie wird nur dort angelegt) 3. In der Domain DKIM aktivieren 4. Unter Tools / DNS-Einstellungen auf Bearbeiten klicken und die Records _dmarc und kas202307161533._domainkey rauskopieren und bei dem Nameserver des Kunden provider eintragen. Zusätzlich den SPF Record anpassen. Wichtig: v=spf1 mx a:w01e2bf9.kasserver.com include:kundenprovider.de include:spf.strold.io (Klicktipp) -all kasserver.com mit inculde funktionieren nicht 5. Unter E-Mail / E-Mail Postfach anlegen mit der Domain des Kunden. Ja, ich weis die Domain ist nicht transferiert, aber das ist OK. Wichtig: zusätzliche Absenderadressen erlauben und dort die Domain: @xxxxxxxxx.com eintragen und dann funktioniert die E-Mail auch als Smarthost. 6. Einen neuen Sendeconnector (Smarthost) im Exchange einrichten und aktivieren. Von jetzt an versendet der Exchange DKIM signierte E-Mails und besteht die DKIM, SPF und DMARC Prüfung ohne Probleme. So jetzt arbeite ich mich einmal in DMARC ein um zu sehen wie man da am besten Integriert.

Nein, ich konnte mich da einarbeiten und der ALLinkl Support ist echt klasse auch Sonntags ;) Ja, ich werde mich jetzt weiter in DMARC einarbeiten, wie man da genau vorgehen sollte. Kannst du mir da einen Tip oder eine URL geben wo das genau beschreiben steht. Danke für deinen Input auch am Wochenende. LG Peter

Moin, der DKIM und DMARC Record lauten: _dmarc v=DMARC1; p=none; kas202307161533._domainkey v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA17yVoqIV???????????????????? Laut MXTools sind die auch korrekt...

Problem gelöst konnte am Sonntag noch gelöst werden.... Ja, wenn man eine neuen Provider nutzt sind die Menüs immer etwas unübersichtlich, aber die Hotline ist SUPER. Sogar am Sontag Telefonsupport. Man muss nur Wichtig: "zusätzliche Absenderadressen erlauben" und dort die Domain: @xxxxxxx des Kunden eintragen und dann funktioniert die E-Mail auch als Smarthost im Exchange. DKIM SPF und DMARC funktionieren einwandfrei. Danke für eueren wie immer super Support....

Schade, das wäre auch zu schön gewesen. Es klappt leider nicht. Beim Versender der E-Mail kommt im Outlook die E-Mail zurück mit der Meldung: Ihre Nachricht wurde aufgrund eines Berechtigungs- oder Sicherheitsproblems nicht zugestellt. Sie wurde möglicherweise von einem Moderator zurückgewiesen, über die Adresse können nur E-Mails von bestimmten Absendern empfangen werden, oder eine weitere Einschränkung verhindert die Zustellung der Nachricht. Die folgende Organisation hat Ihre Nachricht abgelehnt: dd26416.kasserver.com. Sender address rejected: not owned by user m069f8b2

Ja, aber bei Domainfactory ist das leider so. Du kannst alles im NS ablegen aber die stellen nix zur Verfügung. Ich probiere das einmal aus. Ich habe mir jetzt die Domain smarthost123.de bei allinkl. registriert und werde dort mal DKIM für die subdomain kunde1.smarthost123.de einrichten. Dann werde ich den öffentlichen Schlüssel bei Domainfactory einrichten und den neuen Smarthost im Exchange einrichten. Damit sollte alles Palettie sein. Im NS steht der der öffentliche DKIM Schlüssel und in der E-Mail wird der DKIM Header vom Smarthost eingefügt. Dann sollte es eigentlich funktionieren Ich teste das einmal und geben euch bescheid. Ich wünsche dir auch ein schönes Wochenende. LG Brian