magicpeter

vor 17 Minuten schrieb NorbertFe:

Mit einem Anbieter meiner Wahl der DSGVO konform mit den anfallenden Daten umgeht. Also keiner der in US, GB, AUS sitzt. Ob das für dich oder deine Kunden der selbe sein muss wie meiner sei mal dahingestellt.

Und ich würde wetten, dass in einem deiner vielen DMARC Threads bereits der Hinweis kam, dass man sich dazu einen entsprechenden Anbieter suchen sollte, der das Aufbereiten der Reports den eigenen Ansprüchen entsprechend umsetzen kann.

 

OK, dann weis ich jetzt bescheid. Dann suche ich mir halt selber einen Anbieter.

vor 17 Minuten schrieb NorbertFe:

 

Ja, denn nichts anderes hab ich geschrieben. Was sagt dir das jetzt?

 

Bye

Norbert

Das sagt mir, ich habe es geprüft und für gut befunden. 

Danke dir.

Gerade eben schrieb NorbertFe:

Stellst du das Monitoring anderer Systeme/Komponenten sonst auch ein, wenn's mal grün ist? Wie begrenzt ist denn dein Vorstellungsvermögen diesbezüglich? :/

 

Wat?

OK, so langsam komme ich dahinter was du meinst....

Mit welchem System Überwachst du denn deine Reports?

Bezüglich -all habe ich jetzt einmal etwas recherchiert und des wird ~all im Zusammenhang mit DMARC empfohlen.

SPF-Authentifizierung: SPF-all vs ~all

https://easydmarc.com/blog/de/spf-authentifizierung-spf-all-vs-all/

Was genau soll ich denn jetzt noch kontrollieren in den Reports?

Wenn doch alle meine E-Mail Versendungen (gibt es das Wort überhaupt ) funktionieren, was soll ich da noch dürfen?

vor 6 Minuten schrieb NorbertFe:

Echt? Erklär mal.

 

Das Gleiche wie jetzt auch. Im Blick behalten, oder glaubst du es ändert sich nie?

 

Spf -all sollte man mit dmarc nicht nutzen, sondern nur ~all (den Grund wirst du bei der nächsten Recherche sicher selbst finden).

und reject kannst du aktivieren, wenn du dir sicher bist, dass alles passt.

 

Eigentlich irritiert mich deine Frage, denn du sagst ja selbst, dass du dich in dmarc reingearbeitet hast. Und so gut wie jede Quelle die ich so in der Vergangenheit gelesen habe hat relativ deutliche implementierungsempfehlungen, die sich nur geringfügig unterscheiden.

 

Was genau fehlt dir jetzt eigentlich, um deine Frage zu beantworten?

 

bye

norbert

Was genau soll ich denn jetzt noch kontrollieren in den Reports?

Wenn doch alle meine E-Mail Versendungen (gibt es das Wort überhaupt ) funktionieren, was soll ich da noch dürfen?

Warum nicht -all 

Beziehst du dich hierauf?  "Aktuell wird die DMARC Validierung vor allem bei großen Email Providern verwendet. Das ältere SPF Verfahren ist hingegen bei vielen Mailservern im Einsatz. Um hier die Forwarding-Problematik zu entschärfen, empfehlen wir die Definition einer SoftFail Policy."

Also besser ~all

Schließlich teilt -all dem Server mit, dass Adressen, die nicht im SPF-Eintrag aufgeführt sind, nicht berechtigt sind, E-Mails zu versenden und zurückgewiesen werden sollten.

Zu den alternativen Optionen gehören ~all, was bedeutet, dass nicht aufgelistete E-Mails als unsicher oder Spam markiert, aber dennoch akzeptiert werden, und, seltener, +all, was bedeutet, dass jeder Server E-Mails im Namen Ihrer Domain senden kann.
 

Moin,

wie bestimmt einige schon mitbekommen haben, beschäftige ich mich seit einer Woche mit der Einrichtung und dem Ablauf von DMARC, SPF und DKIM.

Nachdem ich jetzt DMARC, SPF und DKIM sauber eingerichtet habe und die DMARC Policy noch auf None stehen habe würde mich jetzt einmal eure weitere Vorgehensweise interessieren.

Ich habe verschiedene Tools zur Auswertung der Reporte mir angeschaut und nutze auch EasyDMARC – DMARC XML Report Analyzer - https://easydmarc.com

Die Frage ist nur, wenn alles zuverlässig läuft. Also die E-Mails zuverlässig angekommen und alle E-Mail Versendung in der Firma, auch  Newsletter, etc funktionieren, was soll ich dann noch mit den Reports anfangen?

Laut DSGVO darf ich damit sowieso nix machen.

Also, mein nächster Schritt wäre jetzt DMARC auf reject und SPF auf -ALL zu stellen.

Damit wäre für mich die Einrichtung abgeschlossen.

Was ist dann noch weiter zu machen?

Ich habe heute den DKIM Signer eingerichtet.

Super Tool, hat sofort für alle 4 Domains funktioniert.

DKIM  auf dem Exchange Server einrichten 

DKIM Signing Agent for Microsoft Exchange Server

https://github.com/Pro/dkim-exchange/wiki

Download:

https://github.com/Pro/dkim-exchange/releases

Dokumentation:

https://www.frankysweb.de/exchange-server-und-dkim/

https://www.der-windows-papst.de/wp-content/uploads/2020/08/DKIM-SIGNER-for-Exchange.pdf

Check DKIM

E-Mail senden an:

check-auth@verifier.port25.com

oder

DKIM, SPF, SpamAssassin Email Validator

https://dkimvalidator.com/

Damit kann dieser Thread geschlossen werden oder was Ihr auch immer damit macht. 

Besten Dank...

vor 1 Minute schrieb testperson:

• Exchange online (Protection)
• Hornet Security
• No Spam Proxy
• ...

Alles klar. No Spam Proxy und Exchange Online kenne ich bereits.
Das funktioniert gut damit.

vor 1 Minute schrieb testperson:

Wie sieht es damit aus, "einfach" für benötigte / geforderte Funktionen eine Lösung käuflich zu erwerben? Dann hat man i.d.R. auch Hersteller Support.

Ja, das wäre auch eine Option. Kennst du da eine gute Lösung?

vor 12 Minuten schrieb NorbertFe:

Was willst du mir sagen? Dass eine ältere Version ältere (damals aktuelle Versionen) hinzugefügt bekam? 

Üblicherweise liest man ja die Release Notes der aktuellsten Version (ich zumindest)

Alles klar. Ich hatte mich da vertan mit dem CU22 vom Exchange 2016. Der aktuelle CU vom Exchange 2019 ist ja CU13.
Es wäre nur toll wenn es für so einen wichtigen Agenten auch immer eine aktuelle Version geben würde.
Aber wie oben schon gesagt, hoffentlich findet sich jemand der das Tool weiter pflegt.

Ich werde es jetzt einmal ausprobieren.

Danke euch.

Super, das Tool werde ich einmal einrichten.

Der Frank hat auch einmal genau beschrieben.

https://www.frankysweb.de/exchange-server-und-dkim/

Danke euch das ist die Lösung.

Ich hoffe es findet sich jemand der der Tool weiter pflegt.

vor 13 Minuten schrieb NorbertFe:

Keine Ahnung, was du da liest, aber unterstelle mir nicht unterschwellig, dass ich nicht weiß was ich tue.

 

vor 40 Minuten schrieb NorbertFe:

Was vermutest du denn? Dass ich die da ranzaubere?

https://github.com/Pro/dkim-exchange

Mal davon abgesehen, dass das Teil "kaum" noch weiterentwickelt wird derzeit und auch einige "Issues" hat, funktioniert es recht stressfrei Der von mir verwendete Spamfilter soll aber lt. Hersteller auch demnächst einen eigenen DKIM Signer erhalten und dann brauch ich das Teil oben nicht mehr.

 

Bye

Norbert

Interessant, laut Docu bis Ex 2019 CU11. Wir nutzen Ex2023 CU23 bis welcher CU hast du das im Einsatz?

Ah, lese gerade das es bis CU22 läuft
New: Added support for Exchange 2016 CU22

vor 1 Stunde schrieb testperson:

Hi,

  

 

mit einem Mailgateway / einer Appliance oder Anti-Spam Lösung vor dem Exchange, der / die das kann und die Mails dann direkt versendet, oder mit einem passenden Provider, der das halt kann.

 

Wenn du dem Exchange wirklich Sender Based Routing beibringen möchtest: messageconcept ExSBR | Absenderbasierendes Routing für Exchange 

 

Gruß

Jan

Moin Jan,

danke für deinen Input.

Das EXSBR hört sich wirklich gut an und scheint genau das zu sein was ich suche.

Ich werde jetzt noch einmal unseren Firewall Anbieter Lancom fragen ob die nicht auch sowas können.

Eine Anti-Spam-Lösung ist ja bereits dort aktiv und diese Firewall Lancom UF-260 kann soviel.
Danke euch.
 

vor 3 Minuten schrieb NorbertFe:

Hilft der beste Smarthost nix bei All-Inkl wenn er das nicht kann. ;) Son Pech aber auch.

 

Mit einem Smarthost der das selbst kann, oder direkt mit Exchange, wenn du KEINEN Smarthost einsetzt.

Läuft hier seit Jahren weitgehend Problemfrei.

Bye

Norbert

Du signierst also seit mehreren Jahren E-Mails mit unterschiedlichen Domains mit einen DKIM Zertifikat auf einem Exchange Server?
Das ist doch klasse.

Und wie machst du das? Da bin ich jetzt echt mal gespannt.

vor 11 Minuten schrieb NorbertFe:

Exchange kann kein Sender based routing. Und was sollte das auch bringen? Du schickst doch eh alles zum selben Smarthost. Also muss der auch für alle drei Domains die dkim Signatur erledigen. Das hat mit deinem exchange nichts zu tun.

 

Nein.

 

Nein.

 

bye

norbert

 

Moin Norbert,

jeder Sendeconnector hat einen eignen Smarthost von der jeweiligen Domain (aaa.com, bbb.com, ccc.com) sonst würde ja die DKIM Signatur nicht funktionieren.

Das ist aber Schade das der Exchange da nicht kann.

Wie realisiert man denn dann DMARC mit mehren Domains auf einen Exchange?

Und warum gibt es dann mehrere Sendeconnectoren?

Moin,
wir haben einen Kunden der hat in seiner Firma 3 E-Mail Domains mit dem er E-Mail empfängt und sendet. Jeder Benutzer hat diese 3 E-Mail Konten. Für jedes E-Mail Konto ist ein extra Exchange Konto eingerichtet. Jeder Benutzer hat also 3 Exchange Konten.

Das klappt auch alles richtig gut. Der Kunde setzt einen Exchange 2019 ein.

Jetzt integrieren wir DMARC bei dem Kunden und haben das Problem das wir nur für die Hauptdomain aaa.com die E-Mail DKIM signiert bekommen. Da ja alle nur über einen Sendeconnector mit einem Smarthost läuft.

Meine Idee wäre jetzt, das man pro Domain einen Sendeconnector anlegt und die entsprechenden E-Mail werden dann mit dem entsprechenden Sendeconnector versendet. Somit kann jede E-Mail mit dem korrekten DKIM signiert werden.

Folgende E-Mail Domains sind im Einsatz:

aaa.com, bbb.com, ccc.com

Sendeconnector aaa.com verwendet die E-Mails die als SMTP aaa.com haben

Sendeconnector bbb.com verwendet die E-Mails die als SMTP bbb.com haben

Sendeconnector ccc.com verwendet die E-Mails die als SMTP ccc.com haben

Geht das so? 

Kann man das Exchange so beibringen?

Moin Jan, ja kann er.

vor einer Stunde schrieb NorbertFe:

Meinst du, die anderen sind nicht fähig zu lesen, oder ist das hier dein persönliches Know How Verzeichnis?

Genau, ich dachte nur es könnte helfen.

Da ich gerade DMARC bei uns aktiviert habe, aber noch mit p=None Policy.  Es scheint alles zu funktionieren. E-Mails werden zugestellt.

Ich wollte in der nächsten Woche auf p=quarantine Policy stellen.

Was ist die DMARC-Quarantäne? p=quarantine Policy [EXPLAINED]

https://powerdmarc.com/de/what-is-dmarc-quarantine-policy/

So jetzt geht es an die Auswertung der DMARC Berichte 

RUA vs. RUF: Die Vielfalt der DMARC-Berichte

https://dmarcadvisor.com/de/rua-vs-ruf/
 

DMARC XML to Human Converter

https://eu.dmarcadvisor.com/dmarc-xml/

DMARC-Alignment

https://dmarcadvisor.com/de/alignment/

vor 2 Stunden schrieb NorbertFe:

Viel passender für dein Problem wäre aber: https://support.google.com/a/answer/10032472?hl=de&ref_topic=2759254&sjid=17985928073998187619-EU

Ja, denkst du das ist nicht spezifiziert und jeder dödel macht wie er sich das vorstellt, oder könnte da eine Spezifikation der Technik existieren?

Lese ich mir morgen durch. Danke Dir.
Die DMARC Spezifikation wird noch erstellt.... und jetzt erst mal gute Nacht....

vor 1 Minute schrieb NorbertFe:

Was sagt denn die dmarc Spezifikation dazu? 

OK, und wieder ein neues Wort...    "dmarc Spezifikation"

Keine Ahnung. Wo wird diese denn konfiguriert?

####

Auch eine schöne Anleitung 

Bevor Sie DMARC einrichten

https://support.google.com/a/answer/10032674?hl=de

vor 3 Minuten schrieb NorbertFe:

Schön, dass du noch die Quelle für dein obiges Zitat mitlieferst. Warum nicht gleich? :/

 

Gerne ;) 

Wie oft kommen denn diese DMARC Berichte?

vor 2 Minuten schrieb NorbertFe:

Na gut, dass du dmarc verstanden hast. ;) falsch ist es nicht, aber es ist eben nicht unbedingt wichtig, wenn man dmarc einsetzt.

 

zum Rest: was willst du mir damit sagen?

 Nichts, ich wollte nur noch mal zeigen das ich das auch verstanden habe 

So hier ist jetzt noch einmal eine gute und einfache 'Anleitung für DMARC.

DMARC einrichten: Ein Schritt-für-Schritt-Leitfaden

https://www.mailjet.com/de/blog/zustellbarkeit/dmarc-einrichten/

vor 1 Minute schrieb NorbertFe:

Das is nicht wichtig und aufgrund von spf sogar unnötig. Man kann das zwar machen, aber es ist nicht wichtig.

Es ging sich mir nur darum kasserver.com mit inculde funktionieren nicht, darum immer mit a: einbauen.
Ich dachte mir ich muss den Allinkl-Server mit in die SPF aufnehmen, so wie auch Klicktipp mitaufgenommen habe damit der Server des Drittanbieters die E-Mails auch versenden kann. 

SPF ist eine Standardmethode zur E-Mail-Authentifizierung, bei der Absender die IP-Adressen von vertrauenswürdigen SMTP-Servern angeben, die von einer Domain aus versenden dürfen. Dieser Eintrag wird daraufhin von dem Eingangsserver geprüft, um die E-Mail zu validieren und an den Posteingang zu senden. Die Authentifizierung mit DKIM funktioniert hingegen über eine Signatur, die den DNS-Einträgen hinzugefügt und mit einem eigenen Schlüssel in Ihrem Nachrichtenheader überprüft wird.

vor 53 Minuten schrieb NorbertFe:

Nein, das steht alles mehr oder weniger hier im thread. Ich bin sicher du schaffst auch das.

Alles klar.

Hier die Header die jetzt mit korrekter Signatur versendet werden.

Authentication-Results: spf=pass (sender IP is 85.13.145.105) smtp.mailfrom=xxxxxxx.com; dkim=pass (signature was verified) header.d=xxxxxxxx.com;dmarc=pass action=none header.from=xxxxxxx.com;compauth=pass reason=100

Hier die Header die jetzt mit korrekter Signatur versendet werden.

So jetzt noch einmal kurz zusammengefasst.

Wenn dein Provider DKIM und DMARC nicht unterstütz kannst du über ein Allinkl Tarif für 4,99 mit 3 Domains deinen Exchange Server mit einem Smarthost ausstatten der das kann.

1. Tarif bei allinkl Buchen (der kleine Webhosting Tarif reicht aus (Privat Tarif heißt der)

2. Deine Kundendomain dort im KAS unter Domains anlegen. (Die Domain muss nicht transferiert werden. Sie wird nur dort angelegt)

3. In der Domain DKIM aktivieren

4. Unter Tools / DNS-Einstellungen auf Bearbeiten klicken und die Records _dmarc und kas202307161533._domainkey rauskopieren und bei dem Nameserver des Kunden provider eintragen. Zusätzlich den SPF Record anpassen. Wichtig:
v=spf1 mx a:w01e2bf9.kasserver.com include:kundenprovider.de include:spf.strold.io (Klicktipp) -all

kasserver.com mit inculde funktionieren nicht

5. Unter E-Mail / E-Mail Postfach anlegen mit der Domain des Kunden. Ja, ich weis die Domain ist nicht transferiert, aber das ist OK.

Wichtig: zusätzliche Absenderadressen erlauben und dort die Domain: @xxxxxxxxx.com eintragen und dann funktioniert die E-Mail auch als Smarthost.

6. Einen neuen Sendeconnector (Smarthost) im Exchange einrichten und aktivieren.

Von jetzt an versendet der Exchange DKIM signierte E-Mails und besteht die DKIM, SPF und DMARC Prüfung ohne Probleme.

So jetzt arbeite ich mich einmal in DMARC ein um zu sehen wie man da am besten Integriert.

vor 7 Minuten schrieb NorbertFe:

Ok, und brauchtest du nen Dienstleister der dir den Eintrag erstellt hat? Mein Hinweis bezüglich des reportings war wohl zu undeutlich. p=none ist erstmal auch nur für die implementierungsphase sinnvoll, die du ohne reporting eigentlich nur bei trivialimgebungen nicht brauchst. Und bei trivialumgebungen kann man auch gleich auf andere Werte gehen. ;)

Nein, ich konnte mich da einarbeiten und der ALLinkl Support ist echt klasse auch Sonntags ;) 
Ja, ich werde mich jetzt weiter in DMARC einarbeiten, wie man da genau vorgehen sollte.
Kannst du mir da einen Tip oder eine URL geben wo das genau beschreiben steht.
Danke für deinen Input auch am Wochenende.
LG Peter