jstar5588 0 Geschrieben 2. August 2023 Melden Teilen Geschrieben 2. August 2023 Guten Morgen Zusammen, ich hätte da mal eine (grundsätzliche) Frage, wie man im Best Practice sowas folgenden Sachverhalt löst: (Für euch vermutlich eine sehr laienhafte Frage...) Wir betreiben nun bald einen Webshop, welchen ein externer Dienstleister hostet. Die Bestellbestätigungen welche von dort aus raus gehen, nennen sich dann im Alias z.B. webshop@firma123.de, die Mails von dort wandern dann in unser Postfach: bestelleingang@firma123.de. Unser Mailserver ist ein On-Prem Exchange 2019. Nun blockt das natürlich der SPF-Record. Der Dienstleister möchte nun über SMTP lösen, sodass wir ein Postfach anlegen und ihm die Zugangsdaten dafür zukommen lassen sollen. Mein Gedanke wäre das über den SPF-Record zu lösen, ich gebe eigentlich nur ungern Zugangsdaten raus. Ich denke vernünftiger wäre mein Gedankengang? Und wenn ja, wie passe ich dann den SPF dazu im optimalen Falle an? Packe ich einfach eine ipv4 dazu oder löse ich das dann im besten Falle über include? Vielen lieben Dank euch. Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 2. August 2023 Melden Teilen Geschrieben 2. August 2023 Hi, vor 12 Minuten schrieb jstar5588: Und wenn ja, wie passe ich dann den SPF dazu im optimalen Falle an? Packe ich einfach eine ipv4 dazu oder löse ich das dann im besten Falle über include? das sollte dir der Dienstleister mitteilen können und hängt davon ab, wie er da seine Mailserver betreibt. Ggfs. reicht es da aus die ip4 und ggfs. ip6 vom Webshop in den SPF aufzunehmen. Gruß Jan 1 Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 2. August 2023 Melden Teilen Geschrieben 2. August 2023 Und wenn du schon dabei bist, kläre gleich korrekte dkim Signierung deiner Mails (vom Shop). Gibt genug Leute die in Shops Mailadressen angeben, die nur dafür genutzt Mails dann weiterzuleiten. Da bricht dann der spf record zwangsweise. Ich hab das oft genug den Kunden erklärt, deswegen erledige es gleich mit. ;) vor 30 Minuten schrieb jstar5588: Der Dienstleister möchte nun über SMTP lösen, sodass wir ein Postfach anlegen und ihm die Zugangsdaten dafür zukommen lassen sollen. Das wollen die immer. Lehne ich auch immer ab. Ich geb doch da keine credentials im Webshop zum hinterlegen her, damit dann bei der nächsten Web sicherheitslücke Zugriff auf den Mailserver besteht. Im Zweifel kannst du sowas aber mit kleinen Geld mit entsprechenden Anbietern lösen. Www.postmarkapp.com wäre bspw. einer. vor 33 Minuten schrieb jstar5588: Unser Mailserver ist ein On-Prem Exchange 2019. Nun blockt das natürlich der SPF-Record. Und was ist mit dem Mailserver der Empfänger die was bestellen? Der is ja genauso wichtig. ;) 1 Zitieren Link zu diesem Kommentar
jstar5588 0 Geschrieben 2. August 2023 Autor Melden Teilen Geschrieben 2. August 2023 Vielen Dank schonmal. Freut mich dass da doch schonmal der richtige Gedankengang besteht :) Dann erledige ich das also mit einer zusätzlichen ipv4 vom versendenen Mailserver. vor 49 Minuten schrieb NorbertFe: Und wenn du schon dabei bist, kläre gleich korrekte dkim Signierung deiner Mails (vom Shop). Gibt genug Leute die in Shops Mailadressen angeben, die nur dafür genutzt Mails dann weiterzuleiten. Da bricht dann der spf record zwangsweise. Ich hab das oft genug den Kunden erklärt, deswegen erledige es gleich mit. ;) Oh, also doch noch ein weiterer Punkt. Wie setze ich das um? Meine eigenen Mails werden ja per DKIM-Signer aufm Exchange signiert, Eintrag auf dem DNS hierfür besteht. (Ich versuche das gerade gedanklich zu strukturieren, komm aber nicht wirklich dahinter...? Viele Grüße, Zitieren Link zu diesem Kommentar
Beste Lösung NorbertFe 1.805 Geschrieben 2. August 2023 Beste Lösung Melden Teilen Geschrieben 2. August 2023 vor 15 Minuten schrieb jstar5588: Oh, also doch noch ein weiterer Punkt. Wie setze ich das um? Meine eigenen Mails werden ja per DKIM-Signer aufm Exchange signiert, Eintrag auf dem DNS hierfür besteht. (Ich versuche das gerade gedanklich zu strukturieren, komm aber nicht wirklich dahinter...? Jeder sendende Server (im Namen deiner Domain) kann einen eigenen DKIM Selector nutzen. Wo und wie das konfiguriert wird, hängt halt vom jeweiligen System ab. Als erstes müßtest du klären, ob der Webshop Server das kann (im Allgemeinen könnten das vermutlich alle, wenn sie es wollten). Wenn ja, dann müßt ihr euch nur noch auf einen Selector-Namen einigen bspw. webshop._domainkey.deinedomain.tld (webshop ist der Selector) und dir dann vom Betreiber den public Key geben lassen. Das packst du dann alles zusammen in den DNS Server. Und damit du auch was siehst von dem Kram, solltest du auch gleich noch DMARC inklusive entsprechender Reportinglösung einsetzen. Gabs hier neulich ein paar "längere" Threads zu, die evtl. hilfreich sein dürften. Bye Norbert 1 Zitieren Link zu diesem Kommentar
jstar5588 0 Geschrieben 2. August 2023 Autor Melden Teilen Geschrieben 2. August 2023 Danke für deine Hilfestellung. SPF, DKIM und DMARC hab ich ja auf unserem DNS laufen, das sagt mir was. rua und ruf entsprechend fürs Reporting auch gesetzt, kontrolliere da auch fleißig jeden Tag. Ging mir jetzt nur noch ums verständliche bzgl. der externen Versandlösung. Das heißt ich hätte dann ja zwei DKIM-Einträge auf dem DNS, einmal den meines In-House Mailservers mit damaligen festgelegten selector und einmal den neuen vom Webshop. Da kommt sich dann auch nichts in die Quere oder wäre fehleranfällig? Und dann sollte alles ohne Probleme funktionieren? Viele Grüße, Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 2. August 2023 Melden Teilen Geschrieben 2. August 2023 vor 5 Minuten schrieb jstar5588: rua und ruf entsprechend fürs Reporting auch gesetzt, kontrolliere da auch fleißig jeden Tag. Du liest dir manuell die xml Dateien durch, oder wie stelle ich mir das grad vor? :) vor 6 Minuten schrieb jstar5588: Das heißt ich hätte dann ja zwei DKIM-Einträge auf dem DNS, einmal den meines In-House Mailservers mit damaligen festgelegten selector und einmal den neuen vom Webshop. Korrekt. vor 6 Minuten schrieb jstar5588: Da kommt sich dann auch nichts in die Quere oder wäre fehleranfällig? Nein, ich hab hier bei uns inzwischen 11 Selectors. Der Vorteil ist, dass du bei Kompromittierung nur das jeweilige System berücksichtigen musst. Stell dir vor, du müßtest dann bei allen den private Key "mal schnell" rotieren. ;) Bye Norbert 1 Zitieren Link zu diesem Kommentar
jstar5588 0 Geschrieben 2. August 2023 Autor Melden Teilen Geschrieben 2. August 2023 vor 29 Minuten schrieb NorbertFe: Du liest dir manuell die xml Dateien durch, oder wie stelle ich mir das grad vor? :) Steinige mich nicht, aber ja :) (Die Organisation ist recht überschaubar und das Geld sitzt für andere Lösungen leider nicht ganz so locker....) Es geht aber noch. Kostet mich ca.10 Minuten am Tag :) Hast du ne Idee wie ichs effizienter gestalten kann? Viele Grüße, Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 2. August 2023 Melden Teilen Geschrieben 2. August 2023 Habs dir mal per PM geschickt. 1 Zitieren Link zu diesem Kommentar
jstar5588 0 Geschrieben 3. August 2023 Autor Melden Teilen Geschrieben 3. August 2023 Hat nun alles wunderbar geklappt, vielen vielen Dank! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.