Wie kann ich SPF und DMARC für meinen Exchange Server mit einem Smarthost einrichten?

[NorbertFe 1.809]

vor 1 Minute schrieb magicpeter:

Ich suche jetzt einmal einen Anbieter der mir sichere DKIM Schlüssel erstellt.

Falsches Vorgehen. Du musst einen Smarthostanbieter suchen, der dir eine DKIM Konfiguration ermöglicht. Die Schlüssel sind BESTANDTEIL der Konfiguration!

[magicpeter 9]

Hier habe ich einen gefunden:

https://powerdmarc.com/de/dkim-record-generator/

Aber ist der vertauen würdig?

Ich frage mein meinen Zertifkatsanbieter PSW ob die sowas machen.

https://www.psw-group.de

 

[NorbertFe 1.809]

Liest du eigentlich die Hinweise die ich dir hier schreibe? Falls nein, dann sag das einfach, dann brauch ich nicht mehr antworten. Nochmal der Smarthostbetreiber MUSS die DKIM Konfiguration ermöglichen. Tut er das nicht, dann kann er auch keine Schlüssel importieren, die du IRGENDWO erstellst. Denn dann wird er mit nahezu 100% Wahrscheinlichkeit keine ausgehende DKIM Signierung durchführen. Egal ob du dann dein Schlüsselmaterial bei dir per openssl, aufm Server oder bei DKIM-Config.ru erstellt hast. Jetzt verstanden?

[magicpeter 9]

Gerade eben schrieb NorbertFe:

Falsches Vorgehen. Du musst einen Smarthostanbieter suchen, der dir eine DKIM Konfiguration ermöglicht. Die Schlüssel sind BESTANDTEIL der Konfiguration!

OK, dann hatte ich das falsch verstanden. Ich dachte ich lasse mir die beiden Schlüssel erstellen und trage dann den öffentlichen im DNS ein und den privaten in der E-Mail ( aber wo in der E-Mail )

 

Da aber der Provider keinen DKIM Schlüssel erstellt und mein Smarhsot ist kann ich das wohl vergessen.

Sollte ich dann den Exchange besser direkt das Versenden der E-Mail erlauben und dann den DKIM...
verdammt jetzt bin ich raus... 

 

Ja, die https://powerdmarc.com/de/power-dmarc-pricing-policy/ bieten sowas doch an.

 

 

vor 2 Minuten schrieb NorbertFe:

Liest du eigentlich die Hinweise die ich dir hier schreibe? Falls nein, dann sag das einfach, dann brauch ich nicht mehr antworten. Nochmal der Smarthostbetreiber MUSS die DKIM Konfiguration ermöglichen. Tut er das nicht, dann kann er auch keine Schlüssel importieren, die du IRGENDWO erstellst. Denn dann wird er mit nahezu 100% Wahrscheinlichkeit keine ausgehende DKIM Signierung durchführen. Egal ob du dann dein Schlüsselmaterial bei dir per openssl, aufm Server oder bei DKIM-Config.ru erstellt hast. Jetzt verstanden?

Alles klar Danke

Dann suche ich mir mal einen Smarhostanbieter mit DKim SPF, und DMARC Unterstützung.

Kennst du da einen guten?

Ich habe da vom Franky eine Artikel dazu gefunden:

Exchange Server und DKIM

https://www.frankysweb.de/exchange-server-und-dkim/

 

Auch nicht schlecht erklärt...

 

 

Leider wurde die Entwicklung eingestellt.

[NorbertFe 1.809]

vor 18 Minuten schrieb magicpeter:

OK, dann hatte ich das falsch verstanden. Ich dachte ich lasse mir die beiden Schlüssel erstellen und trage dann den öffentlichen im DNS ein und den privaten in der E-Mail ( aber wo in der E-Mail )

 

Ich dachte du hast dich zu DKIM eingelesen? Es gibt zwei Stellen, das hast du korrekt erkannt. DNS da steht der public Key im sogenannten Selector. Und die Mail wird signiert und als Headerinfo steht dann der hash und der Selectorname (wo der public Key zum überprüfen des Hash-Wertes gefunden werden kann). Du kannst also den einen Teil nicht ohne den anderen konfigurieren. Beides einzeln bringt Fehler, die die Reputation und/oder die Zustellbarkeit deiner Mails verschlechtern.

 

WEnn also dein Smarthostanbieter (den du hier nicht genannt hast) das nicht kann, dann musst du entweder selbst versenden und die Signatur erzeugen (Exchange kann man das bspw. beibringen, oder auch einer Sophos SG), oder einen Smarthostanbieter finden, der sowas kann. Spontan fällt mir All-inkl ein, die zumindest DKIM Signatur immer mit als Option in der Domänenkonfiguration anzeigen. Aber da ich keine Smarthosts verwende, wirds schwer. Schau dir im Zweifel sowas wie Mailgun an, die sollten sowas auf jeden Fall ermöglichen. Wobei ich sowas im Allgemeinen lieber selbst in der Hand habe. Aber du wirst schon was passendes finden.

vor 18 Minuten schrieb magicpeter:

Sollte ich dann den Exchange besser direkt das Versenden der E-Mail erlauben und dann den DKIM...

Das wäre eine Möglichkeit. Siehe oben.

vor 18 Minuten schrieb magicpeter:

Ja, die https://powerdmarc.com/de/power-dmarc-pricing-policy/ bieten sowas doch an.

Nein tun sie nicht. Die bieten dir an, deine DMARC Reports aufzubereiten und entsprechend bereitzustellen. Zusätzlich bieten sie dir noch hosted MTA-STS (inklusive SMTP TLS Reporting) und hosted BIMI.

Anbieter wie diese gibt es einige, da sollte man ggf. auch vorher überlegen, welchen man sich erwählt. Man sollte aber tatsächlich daran nicht sparen, sonst hilft einem DMARC nämlich deutlich weniger, wenn niemand das DMARC Reporting auswertet.

vor 18 Minuten schrieb magicpeter:

Dann suche ich mir mal einen Smarhostanbieter mit DKim SPF, und DMARC Unterstützung.

Tu das.

bearbeitet 14. Juli 2023 von NorbertFe

[magicpeter 9]

vor 14 Minuten schrieb NorbertFe:

Ich dachte du hast dich zu DKIM eingelesen? Es gibt zwei Stellen, das hast du korrekt erkannt. DNS da steht der public Key im sogenannten Selector. Und die Mail wird signiert und als Headerinfo steht dann der hash und der Selectorname (wo der public Key zum überprüfen des Hash-Wertes gefunden werden kann). Du kannst also den einen Teil nicht ohne den anderen konfigurieren. Beides einzeln bringt Fehler, die die Reputation und/oder die Zustellbarkeit deiner Mails verschlechtern.

 

WEnn also dein Smarthostanbieter (den du hier nicht genannt hast) das nicht kann, dann musst du entweder selbst versenden und die Signatur erzeugen (Exchange kann man das bspw. beibringen, oder auch einer Sophos SG), oder einen Smarthostanbieter finden, der sowas kann. Spontan fällt mir All-inkl ein, die zumindest DKIM Signatur immer mit als Option in der Domänenkonfiguration anzeigen. Aber da ich keine Smarthosts verwende, wirds schwer. Schau dir im Zweifel sowas wie Mailgun an, die sollten sowas auf jeden Fall ermöglichen. Wobei ich sowas im Allgemeinen lieber selbst in der Hand habe. Aber du wirst schon was passendes finden.

Das wäre eine Möglichkeit. Siehe oben.

Nein tun sie nicht. Die bieten dir an, deine DMARC Reports aufzubereiten und entsprechend bereitzustellen. Zusätzlich bieten sie dir noch hosted MTA-STS (inklusive SMTP TLS Reporting) und hosted BIMI.

Anbieter wie diese gibt es einige, da sollte man ggf. auch vorher überlegen, welchen man sich erwählt. Man sollte aber tatsächlich daran nicht sparen, sonst hilft einem DMARC nämlich deutlich weniger, wenn niemand das DMARC Reporting auswertet.

Tu das.

Super Danke dir. Jetzt weis ich bescheid. Der Provider ist Domainfactory.

Wenn ich mir jetzt eine Domain bei allinkl.com holen würde, smarthost123.de und dann für meine Kunden jeweils eine subdomain einrichten würde.

 

kunden1.smarthost123.de - sh@kunden1.smarthost123.de

kunden2.smarthost123.de - sh@kunden1.smarthost123.de

 

https://all-inkl.com/wichtig/anleitungen/kas/tools/dns-werkzeuge/dkim-bei-versand-ueber-unsere-mailserver_541.html

 

Könnte ich dann darüber die DKIM, SPF und DMARC realisieren?

Was meinst du?

Obwohl die E-Mail Domain eine ganz andere wäre. @kunden1.de, @kunde2.de, etc..

 

 

 

DNS-Werkzeuge: DMARC von all-inkl

 

https://all-inkl.com/wichtig/anleitungen/kas/tools/dns-werkzeuge/dmarc_562.html

 

Das wäre richtig gut.

Oder halt Mailgun:
https://www.mailgun.com/de/produkte/versenden/smtp/

 

Wäre dann aber das gleiche wir allinkl 

[NorbertFe 1.809]

Ich würde sagen, du liest dich mal ein, was die Provider dir bieten, die haben im Zweifel ja auch einen Support, der dir weiterhelfen kann (solange du deine Anforderungen klar formulierst). Ich mach jetzt Wochenende und denke nicht mehr an deinen Smarthost. ;)

 

Schönes Wochenende

Norbert

[magicpeter 9]

Am 14.7.2023 um 17:00 schrieb NorbertFe:

Dazu _muss_ der Provider das aber unterstützen, dass du den DKIM Kram auch hinterlegen kannst. Und wenn er das unterstützt bietet er meist auch eine eigene ERstellungsmöglichkeit. Ich kenne bisher keinen, wo man sein Schlüsselmaterial irgendwo extern erzeugen muss.

Ja, aber bei Domainfactory ist das leider so. Du kannst alles im NS ablegen aber die stellen nix zur Verfügung.

Ich probiere das einmal aus. Ich habe mir jetzt die Domain smarthost123.de bei allinkl. registriert und werde dort mal DKIM für die subdomain kunde1.smarthost123.de einrichten.

Dann werde ich den öffentlichen Schlüssel bei Domainfactory einrichten und den neuen Smarthost im Exchange einrichten.

Damit sollte alles Palettie sein. Im NS steht der der öffentliche DKIM Schlüssel und in der E-Mail wird der DKIM Header vom Smarthost eingefügt.

 

Dann sollte es eigentlich funktionieren 

Ich teste das einmal und geben euch bescheid.

 

Ich wünsche dir auch ein schönes Wochenende.
LG Brian 

bearbeitet 15. Juli 2023 von magicpeter

[NorbertFe 1.809]

vor 3 Stunden schrieb magicpeter:

kunde1.smarthost123.de einrichten.

Dann werde ich den öffentlichen Schlüssel bei Domainfactory einrichten und den neuen Smarthost im Exchange einrichten.

Nö, denn der dkim Schlüssel ist dann ja kunde1.Smarthost123.de er muss aber Kunde.de sein.

hast du doch oben von all inkl selbst verlinkt. Du musst also die Domain des Kunden anlegen und dort dkim aktivieren. Aber ob das funktioniert wirst du dann schon merken.

[magicpeter 9]

Schade, das wäre auch zu schön gewesen.

Es klappt leider nicht.
Beim Versender der E-Mail kommt im Outlook die E-Mail zurück mit der Meldung:

 

Ihre Nachricht wurde aufgrund eines Berechtigungs- oder Sicherheitsproblems nicht zugestellt. Sie wurde möglicherweise von einem Moderator zurückgewiesen, über die Adresse können nur E-Mails von bestimmten Absendern empfangen werden, oder eine weitere Einschränkung verhindert die Zustellung der Nachricht.
Die folgende Organisation hat Ihre Nachricht abgelehnt: dd26416.kasserver.com.
 

Sender address rejected: not owned by user m069f8b2

 

 

 

[magicpeter 9]

vor 4 Stunden schrieb magicpeter:

Schade, das wäre auch zu schön gewesen.

Es klappt leider nicht.
Beim Versender der E-Mail kommt im Outlook die E-Mail zurück mit der Meldung:

 

Ihre Nachricht wurde aufgrund eines Berechtigungs- oder Sicherheitsproblems nicht zugestellt. Sie wurde möglicherweise von einem Moderator zurückgewiesen, über die Adresse können nur E-Mails von bestimmten Absendern empfangen werden, oder eine weitere Einschränkung verhindert die Zustellung der Nachricht.
Die folgende Organisation hat Ihre Nachricht abgelehnt: dd26416.kasserver.com.
 

Sender address rejected: not owned by user m069f8b2

 

 

 

Problem gelöst konnte am Sonntag noch gelöst werden....

Ja, wenn man eine neuen Provider nutzt sind die Menüs immer etwas unübersichtlich, aber die Hotline ist SUPER. Sogar am Sontag Telefonsupport.

 

Man muss nur 
Wichtig: "zusätzliche Absenderadressen erlauben" und dort die Domain: @xxxxxxx des Kunden eintragen und dann funktioniert die E-Mail auch als Smarthost im Exchange.

DKIM SPF und DMARC funktionieren einwandfrei.

Danke für eueren wie immer super Support....

[NorbertFe 1.809]

vor einer Stunde schrieb magicpeter:

DKIM SPF und DMARC funktionieren einwandfrei.

Echt? Wie hast du das denn so schnell festgestellt? Wie lautet denn jetzt der verwendete dmarc Record?

[magicpeter 9]

vor 3 Minuten schrieb NorbertFe:

Echt? Wie hast du das denn so schnell festgestellt? Wie lautet denn jetzt der verwendete dmarc Record?

Moin, der DKIM und DMARC Record lauten:

_dmarc

v=DMARC1; p=none;

 

kas202307161533._domainkey

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA17yVoqIV????????????????????

 

Laut MXTools sind die auch korrekt...

 

 

 

 

[NorbertFe 1.809]

Ok, und brauchtest du nen Dienstleister der dir den Eintrag erstellt hat? Mein Hinweis bezüglich des reportings war wohl zu undeutlich. p=none ist erstmal auch nur für die implementierungsphase sinnvoll, die du ohne reporting eigentlich nur bei trivialimgebungen nicht brauchst. Und bei trivialumgebungen kann man auch gleich auf andere Werte gehen. ;)

[magicpeter 9]

vor 7 Minuten schrieb NorbertFe:

Ok, und brauchtest du nen Dienstleister der dir den Eintrag erstellt hat? Mein Hinweis bezüglich des reportings war wohl zu undeutlich. p=none ist erstmal auch nur für die implementierungsphase sinnvoll, die du ohne reporting eigentlich nur bei trivialimgebungen nicht brauchst. Und bei trivialumgebungen kann man auch gleich auf andere Werte gehen. ;)

Nein, ich konnte mich da einarbeiten und der ALLinkl Support ist echt klasse auch Sonntags ;) 
Ja, ich werde mich jetzt weiter in DMARC einarbeiten, wie man da genau vorgehen sollte.
Kannst du mir da einen Tip oder eine URL geben wo das genau beschreiben steht.
Danke für deinen Input auch am Wochenende.
LG Peter