E-Mail/DKIM: Unterschied zwischen den Versionen

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen
Die Seite wurde neu angelegt: „Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert. = DKIM = DKIM ist nicht zu verwechseln mit einer E-Mail-Signatur in Ihrem Anwendungsprogramm (PGP oder S/MIME), letztere identifiziert Sie als Absender i.d.R. namentlich von Ihnen als Absender bis zum Empfänger. DKIM sichert dagegen nur den Weg von Ihrem Mail-Server (also unseren Anlagen) bis zum Mail-Server des Empfängers. Dazu wird ein DNS-Record publiziert, der e…“
 
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert.  
Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert. Wir werden in Kürze DKIM und DMARC automatisch für Kunden aktivieren, die unseren DNS- und Mailserver nutzen.
 
Im Konfigurationsinterface unter "Domains - Mail-Verwaltung" können Sie für Ihre Domains DKIM und DMARC aktivieren/deaktivieren.


= DKIM =
= DKIM =


DKIM ist nicht zu verwechseln mit einer E-Mail-Signatur in Ihrem Anwendungsprogramm (PGP oder S/MIME), letztere identifiziert Sie als Absender i.d.R. namentlich von Ihnen als Absender bis zum Empfänger. DKIM sichert dagegen nur den Weg von Ihrem Mail-Server (also unseren Anlagen) bis zum Mail-Server des Empfängers. Dazu wird ein DNS-Record publiziert, der einen öffentlichen Schlüssel für Ihre Domain enthält. Jeder DKIM-kompatible Mailserver prüft nun bei eingehenden E-Mails von Ihrer Domain ob die Signatur zu diesem Schlüssel passt.
Für bei uns gehostete Domains und Mailadressen funktioniert DKIM automatisch, solange die Mails über unsere Mailserver gesendet werden.
 
Die Motivation bei der Erfindung von DKIM war ähnlich wie bei einfacheren SPF, bei dem nur über die IP-Adressen eine feste Menge an Mail-Servern für den Versand aus Ihrer Domain erlaubt wird. Der Vorteil von DKIM ist, dass damit Weiterleitungen möglich sind, wenn die DKIM-Signatur und der Absender gleich bleiben.


== Mails von PHP-Applikationen und anderen serverseitigen Anwendungen ==


= DMARC =
Mails werden nur signiert, wenn sie authentifiziert - also mittels eines Logins mit Benutzername und Passwort - über unseren Mailserver versendet werden. Das bedeutet, dass Mails, die etwa über die Kommandozeile mittels sendmail oder über die PHP-Standardfunktion mail() versendet werden, nicht signiert werden.


Als zusätzliche Einstellung können wir für Sie auch einen DMARC-Record veröffentlichen. Dies ist eine Anweisung an den empfangenden Mailserver, eingehende Mail von dieser Domain nur dann zu akzeptieren, wenn diese per DKIM signiert ist und von einem mit SPF erlaubten Mailserver stammt.  
Bei den meisten Anwendungen ist es möglich, einen Mailversand über das SMPT/Submission-Protokoll zu konfigurieren und dort entsprechende Zugangsdaten anzugeben.


Dazu kann mittels DMARC festgelegt werden, dass Zustellversuche an den Inhaber der Domain gemeldet werden, um eine Fehleranalyse zu bewerkstelligen.
== Externe DNS-Server ==


Übrigens können Sie auch einen eigenen DMARC-Record im DNS-Server anlegen mit Ihren eigenen Einstellungen und Reporting-Adressen. Diese Einstellung muss dafür nicht aktiviert sein.
Wenn Sie einen externen DNS-Server nutzen und gleichzeitig DKIM aktivieren möchten, sind einige Dinge zu beachten, daher aktivieren wir hier DKIM nicht automatisch. Sie müssen dann einen passenden DNS-Record anlegen, in dem die öffentlichen Schlüssel abgelegt sind. Wir nutzen zur Zeit den Selektor key1, der entsprechende DNS-Eintrag lautet:


<pre>v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAplysJ1bZ2xrWbnLwLr0yRijIeLSKIkmHKIRFYoDc4omsQOGU7yv6xxpRfjiUDoTTO2E4InayR68pWGSU0lPv8Q7fBVE/UcH5JfP7IJGsEsPTCUMxZY2M9e7Kg7J1LrPNpiV8P6xcGyDHA1RyGMUwFS86rjzXK//9o+8szgzSTY7X7cio/J+a/5bKaVF0vva9YNS+WHI6LxnYzHZQbFGZNIZnAlKPd+LHnbwfYKU20QgZKeHguGOi4VMb77wUFlXrRjEafmKQlfsAyyKrkzs42nYk/UuxRZcqadJAEo87umgeQPjbyc64LazMTcQOSBqTBX59CaF0DBP3RggmN0CpdwIDAQAB</pre>


== Unzulänglichkeiten ==
Bitte beachten Sie, dass Sie selbst verantwortlich sind, den DNS-Eintrag anzupassen, falls wir den Key wechseln. Wir werden in dem Fall betroffene Kunden informieren.


Die anfängliche Zielsetzung von DKIM war es, dass Mailserver nicht signierte Mails direkt abweisen können und somit niemand Fremdes unter Ihrer Domain Nachrichten versenden kann. Dieses Ziel wurde leider durch einige Design-Schwächen und unzulängliche Implementierungen konterkariert und DKIM wird daher heute nur als ein Indiz unter mehreren in Spamfiltern verwendet.
== Externe Mail-Server ==


Leider gibt es insbesondere bei DMARC als Kombination von SPF und DKIM ein schwer lösbares Problem mit jeglicher Art von Weiterleitungen. Für SPF sollte zwingend der Absender beim Weiterleiten umgeschrieben werden, bei DKIM sollte er nicht geändert werden.
Sollten Sie Mails über externe Mailserver verschicken, aber gleichzeitig unseren DNS-Server nutzen, müssen Sie eventuell den DMARC-Schlüssel des externen Servers bei uns eintragen.


Aufgrund der Weiterleitungs-Problematik müssen die Einstellungen bei DMARC momentan sehr locker gesetzt werden, so dass diese Technik Sie trotzdem nicht vor Spoofing schützen kann.
= DMARC =


Mittels DMARC kann man festlegen, wie andere Mailserver mit DKIM und SPF, und auch mit fehlenden Signaturen umgehen sollen.


= Fazit / Empfehlung =
Leider gibt es mit DMARC verschiedene Probleme im Zusammenhang mit Mailinglisten und Weiterleitungen, für die es keine zufriedenstellende Lösung gibt. Wir aktivieren daher standardmäßig DMARC nur mit einer Policy im "soft"-Modus ("p=none"). Damit sollten andere Mailserver auch fehlerhaft oder nicht signierte Mails nicht ablehnen.


Wir empfehlen, DKIM für Ihre Domain einzuschalten aber DMARC momentan noch nicht zu aktivieren. Die Verwendung von DKIM als Zusatz schadet nicht und bringt Ihren Mails eventuell zusätzliche Vorteile beim empfangenden Spamfilter.
Sie haben die Möglichkeit, selbst einen DMARC-Record in den DNS-Einstellungen zu erstellen. Dieser überschreibt automatisch den von uns erstellten Record, damit haben Sie auf Wunsch die Möglichkeit, die Policy oder andere DMARC-Optionen selbst zu setzen. Natürlich gilt auch hier: Sie sind dann auch selbst dafür verantwortlich.

Version vom 29. Juli 2023, 13:35 Uhr

Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert. Wir werden in Kürze DKIM und DMARC automatisch für Kunden aktivieren, die unseren DNS- und Mailserver nutzen.

Im Konfigurationsinterface unter "Domains - Mail-Verwaltung" können Sie für Ihre Domains DKIM und DMARC aktivieren/deaktivieren.

DKIM

Für bei uns gehostete Domains und Mailadressen funktioniert DKIM automatisch, solange die Mails über unsere Mailserver gesendet werden.

Mails von PHP-Applikationen und anderen serverseitigen Anwendungen

Mails werden nur signiert, wenn sie authentifiziert - also mittels eines Logins mit Benutzername und Passwort - über unseren Mailserver versendet werden. Das bedeutet, dass Mails, die etwa über die Kommandozeile mittels sendmail oder über die PHP-Standardfunktion mail() versendet werden, nicht signiert werden.

Bei den meisten Anwendungen ist es möglich, einen Mailversand über das SMPT/Submission-Protokoll zu konfigurieren und dort entsprechende Zugangsdaten anzugeben.

Externe DNS-Server

Wenn Sie einen externen DNS-Server nutzen und gleichzeitig DKIM aktivieren möchten, sind einige Dinge zu beachten, daher aktivieren wir hier DKIM nicht automatisch. Sie müssen dann einen passenden DNS-Record anlegen, in dem die öffentlichen Schlüssel abgelegt sind. Wir nutzen zur Zeit den Selektor key1, der entsprechende DNS-Eintrag lautet:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAplysJ1bZ2xrWbnLwLr0yRijIeLSKIkmHKIRFYoDc4omsQOGU7yv6xxpRfjiUDoTTO2E4InayR68pWGSU0lPv8Q7fBVE/UcH5JfP7IJGsEsPTCUMxZY2M9e7Kg7J1LrPNpiV8P6xcGyDHA1RyGMUwFS86rjzXK//9o+8szgzSTY7X7cio/J+a/5bKaVF0vva9YNS+WHI6LxnYzHZQbFGZNIZnAlKPd+LHnbwfYKU20QgZKeHguGOi4VMb77wUFlXrRjEafmKQlfsAyyKrkzs42nYk/UuxRZcqadJAEo87umgeQPjbyc64LazMTcQOSBqTBX59CaF0DBP3RggmN0CpdwIDAQAB

Bitte beachten Sie, dass Sie selbst verantwortlich sind, den DNS-Eintrag anzupassen, falls wir den Key wechseln. Wir werden in dem Fall betroffene Kunden informieren.

Externe Mail-Server

Sollten Sie Mails über externe Mailserver verschicken, aber gleichzeitig unseren DNS-Server nutzen, müssen Sie eventuell den DMARC-Schlüssel des externen Servers bei uns eintragen.

DMARC

Mittels DMARC kann man festlegen, wie andere Mailserver mit DKIM und SPF, und auch mit fehlenden Signaturen umgehen sollen.

Leider gibt es mit DMARC verschiedene Probleme im Zusammenhang mit Mailinglisten und Weiterleitungen, für die es keine zufriedenstellende Lösung gibt. Wir aktivieren daher standardmäßig DMARC nur mit einer Policy im "soft"-Modus ("p=none"). Damit sollten andere Mailserver auch fehlerhaft oder nicht signierte Mails nicht ablehnen.

Sie haben die Möglichkeit, selbst einen DMARC-Record in den DNS-Einstellungen zu erstellen. Dieser überschreibt automatisch den von uns erstellten Record, damit haben Sie auf Wunsch die Möglichkeit, die Policy oder andere DMARC-Optionen selbst zu setzen. Natürlich gilt auch hier: Sie sind dann auch selbst dafür verantwortlich.