Jump to content

Wie kann ich SPF und DMARC für meinen Exchange Server mit einem Smarthost einrichten?


Direkt zur Lösung Gelöst von magicpeter,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

das fragst du am besten den Support vom Domainprovider (oder versendest die Mails "selber" über ein eigenes Mailgateway oder den Exchange).

vor 2 Minuten schrieb magicpeter:

Wie kann ich dafür SPF und DMARC einrichten?

Und was ist mit DKIM?

 

BTW.: Hast du dich mit dem Thema schon auseinander gesetzt und bist grob im Bilde, was SPF, DKIM und DMARC macht bzw. voraussetzt?

 

Gruß

Jan

  • Haha 1
Link zu diesem Kommentar
vor 49 Minuten schrieb testperson:

Hi,

 

das fragst du am besten den Support vom Domainprovider (oder versendest die Mails "selber" über ein eigenes Mailgateway oder den Exchange).

Und was ist mit DKIM?

 

BTW.: Hast du dich mit dem Thema schon auseinander gesetzt und bist grob im Bilde, was SPF, DKIM und DMARC macht bzw. voraussetzt?

 

Gruß

Jan

Moin Jan,

ja ich habe schon ein Ticket beim Domainprovider aufgemacht.

Und ich arbeite mich gerade Inder Thema SPF, DKIM und DMARC ein.

bearbeitet von magicpeter
Link zu diesem Kommentar

Hier die Rückmeldung vom Provider:

Einen SPF-Record können Sie in den Nameserver-Einstellungen hinterlegen - wir bieten Ihnen dort auch einen Assistenten an, wenn Sie für einen neuen Eintrag den Typ SPF wählen. 
DMARC wird von uns nicht unterstützt, Sie müssten daher über einen externen Dienstleister gehen, der Ihnen entsprechende Records erzeugt - hinterlegen geht aber auch hier als Nameserver-Eintrag (TXT).

Link zu diesem Kommentar
vor 49 Minuten schrieb magicpeter:

DMARC wird von uns nicht unterstützt, Sie müssten daher über einen externen Dienstleister gehen, der Ihnen entsprechende Records erzeugt - hinterlegen geht aber auch hier als Nameserver-Eintrag (TXT).

Die Aussage liest sich irgendwie komisch. Dann geh mal zu einem externen Dienstleister der dir den DMARC Record erzeugt. Was is eigentlich mit DKIM?

Link zu diesem Kommentar
vor 33 Minuten schrieb NorbertFe:

Die Aussage liest sich irgendwie komisch. Dann geh mal zu einem externen Dienstleister der dir den DMARC Record erzeugt. Was is eigentlich mit DKIM?

 

Und hier die Meldung vom Provider:

 

DKIM:

Ist ein DKIM-Eintrag im DNS hinterlegt, werden eingehende E-Mails auf DKIM geprüft. Dann wird der Public Key gegen die Signatur geprüft und die E-Mail wird entweder zugestellt, oder abgelehnt.

Der Header sieht wie folgt aus:

Bei einem FAIL: X-DKIM: DKIM failed: (address=$sender_address domain=$dkim_cur_signer), signature is bad.
Wenn die Signatur falsch ist: X-DKIM: DKIM passed: $dkim_cur_signer ($dkim_verify_status), but signature is invalid.
Wenn die Signatur korrekt ist: X-DKIM: DKIM passed: (address=$sender_address domain=$dkim_cur_signer), signature is good.
Erfolgreiche Prüfung der Signatur: X-DKIM: DKIM passed: (address=benutzer@domain.tld domain=domain.tld), signature is good.
Bitte beachten Sie: Es werden keine E-Mails abgelehnt, wenn die SPF/DKIM Prüfung anschlägt. Es wird lediglich der Header markiert!

 

Es ist geplant, dass Sie solche Mails künftig auch direkt über eine Einstellung im Kundenmenü ablehnen können.

vor 45 Minuten schrieb zahni:

Nun, da Du dich einarbeitet wirst Du es nun, zusammen mit der Rückmeldung vom Provider, ja hinbekommen.

:D Ja, ne klar....

 

Setzt ihr denn DKIM und DMARC ein?

Ich suche mir jetzt einmal eine Anleitung wie das genau funktioniert und das einzurichten ist ohne das auf einmal keine E-Mails mehr ankommen oder zugestellt werden können ;-)

 

Oder hat einer von euch so was rum liegen...?

Link zu diesem Kommentar
vor 8 Minuten schrieb magicpeter:

Bitte beachten Sie: Es werden keine E-Mails abgelehnt, wenn die SPF/DKIM Prüfung anschlägt. Es wird lediglich der Header markiert!

 

Naja das is aber nur zutreffend für deinen Provider. Ansonsten kann das wohl jeder Empfänger für sich selbst entscheiden. ;)

vor 9 Minuten schrieb magicpeter:

Setzt ihr denn DKIM und DMARC ein?

selbstverständlich.

 

vor 9 Minuten schrieb magicpeter:

Ich suche mir jetzt einmal eine Anleitung wie das genau funktioniert und das einzurichten ist ohne das auf einmal keine E-Mails mehr ankommen oder zugestellt werden können ;-)

 

Das ist schon mal ein guter Plan.

 

vor 9 Minuten schrieb magicpeter:

Oder hat einer von euch so was rum liegen...?

Klar, hier liegen jede Menge DKIM und DMARC Einträge rum. Willst einen haben? ;)

Hilft, wenn man sich als Dienstleister damit befaßt und sich das nicht vorkauen läßt. Im Fehlerfall stehst du dann nämlich wieder rum und fragst hier im Forum, ob und warum die Mail nicht ankommt. :/

Link zu diesem Kommentar
vor 4 Minuten schrieb NorbertFe:

 

Naja das is aber nur zutreffend für deinen Provider. Ansonsten kann das wohl jeder Empfänger für sich selbst entscheiden. ;)

selbstverständlich.

 

Das ist schon mal ein guter Plan.

 

Klar, hier liegen jede Menge DKIM und DMARC Einträge rum. Willst einen haben? ;)

Hilft, wenn man sich als Dienstleister damit befaßt und sich das nicht vorkauen läßt. Im Fehlerfall stehst du dann nämlich wieder rum und fragst hier im Forum, ob und warum die Mail nicht ankommt. :/

:D Ja, ich wußte das wird nicht so einfach.

JA, toll das der Provider keinen DKIM Schlüssel erstellt. Jetzt stehe ich jetzt da. Woher bekomme ich denn den öffentliche Schlüssel (public key) für den Record?

 

Link zu diesem Kommentar

 

DKIM-Eintrag erstellen: So machen Sie es richtig

https://dmarcadvisor.com/de/dkim-eintrag-erstellen/

 

 

Gerade eben schrieb NorbertFe:

Wer versendet die Mails? Der Server muss die DKIM signatur an die Mail hängen. und der muss auch die DKIM Konfig erstellen. Der Rest ist dann pille palle.

Der Smarthost auf dem Exchange versendet die E-Mails. Der Smarthsot der der SMTP-Server des Providers.

 

Link zu diesem Kommentar
vor 1 Minute schrieb magicpeter:

Der Smarthost auf dem Exchange versendet die E-Mails. Der Smarthsot der der SMTP-Server des Providers.

 

Ich interpretiere das mal als: Der Exchange sendet an den Smarthost des Providers?

Falls ja, dann muss der die DKIM Signaturkonfiguration bereitstellen. Ob das mittels CName (wie Microsoft das für Exchange Online macht) oder mittels Text Records mit selector und pub key erfolgt kann dir egal sein. Und die Aussage oben vom Provider bezieht auf eingehende DKIM Prüfung. Du brauchst aber ausgehende DKIM Signatur.

Link zu diesem Kommentar
vor 1 Minute schrieb NorbertFe:

Ich interpretiere das mal als: Der Exchange sendet an den Smarthost des Providers?

Falls ja, dann muss der die DKIM Signaturkonfiguration bereitstellen. Ob das mittels CName (wie Microsoft das für Exchange Online macht) oder mittels Text Records mit selector und pub key erfolgt kann dir egal sein. Und die Aussage oben vom Provider bezieht auf eingehende DKIM Prüfung. Du brauchst aber ausgehende DKIM Signatur.

OK, dann brauche ich aber den öffentlichen Schlüssel. Den kann ich mir doch bestimmt irgendwo erstellen lassen und dann im DNS Server eintragen.

 

Ah, da habe ich was gefunden.

Alternativ kann das Schlüsselpaar mit einem Online-Generator erstellt werden, möglich ist das z.B. mit dem folgenden Generator: http://dkimcore.org/tools/keys.html

 

Link zu diesem Kommentar

OK, das macht aber keinen Sinn denn:

 

Security notes

This online wizard is fine for generating keys for testing and evaluation. If you decide to use DKIM Core in production, though, you might want to consider the security risks. The wizard records your DKIM Core keys, including your private key, until you delete them.

That means that I have access to your private key, and could forge email to appear to be from you. I'm not going to do that, of course, but if you're concerned about the risk then you can generate DKIM Core keys on your own machine using openssl, as described in the specification.

Ich suche jetzt einmal einen Anbieter der mir sichere DKIM Schlüssel erstellt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!
Gast
Dieses Thema wurde für weitere Antworten geschlossen.
×
×
  • Neu erstellen...