E-Mail/DKIM

Aus schokokeks.org Wiki
Version vom 9. Dezember 2023, 20:59 Uhr von Hanno (Diskussion | Beiträge) (→‎Externe Mail-Server)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert. Wir werden in Kürze DKIM und DMARC automatisch für Kunden aktivieren, die unseren DNS- und Mailserver nutzen.

Im Konfigurationsinterface unter "Domains - Mail-Verwaltung" können Sie für Ihre Domains DKIM und DMARC aktivieren/deaktivieren.

DKIM

Für bei uns gehostete Domains und Mailadressen funktioniert DKIM automatisch, solange die Mails über unsere Mailserver gesendet werden.

Mails von PHP-Applikationen und anderen serverseitigen Anwendungen

Mails werden nur signiert, wenn sie authentifiziert - also mittels eines Logins mit Benutzername und Passwort - über unseren Mailserver versendet werden. Das bedeutet, dass Mails, die etwa über die Kommandozeile mittels sendmail oder über die PHP-Standardfunktion mail() versendet werden, nicht signiert werden.

Bei den meisten Anwendungen ist es möglich, einen Mailversand über das SMPT/Submission-Protokoll zu konfigurieren und dort entsprechende Zugangsdaten anzugeben.

Externe DNS-Server

Wenn Sie einen externen DNS-Server nutzen und gleichzeitig DKIM aktivieren möchten, sind einige Dinge zu beachten, daher aktivieren wir hier DKIM nicht automatisch. Sie müssen dann einen passenden DNS-Record anlegen, in dem die öffentlichen Schlüssel abgelegt sind. Wir nutzen zurzeit den Selektor key1, der entsprechende DNS-Eintrag, der unter der Subdomain 'key1._domainkey' angelegt werden muss, lautet:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAplysJ1bZ2xrWbnLwLr0yRijIeLSKIkmHKIRFYoDc4omsQOGU7yv6xxpRfjiUDoTTO2E4InayR68pWGSU0lPv8Q7fBVE/UcH5JfP7IJGsEsPTCUMxZY2M9e7Kg7J1LrPNpiV8P6xcGyDHA1RyGMUwFS86rjzXK//9o+8szgzSTY7X7cio/J+a/5bKaVF0vva9YNS+WHI6LxnYzHZQbFGZNIZnAlKPd+LHnbwfYKU20QgZKeHguGOi4VMb77wUFlXrRjEafmKQlfsAyyKrkzs42nYk/UuxRZcqadJAEo87umgeQPjbyc64LazMTcQOSBqTBX59CaF0DBP3RggmN0CpdwIDAQAB

Bitte beachten Sie, dass Sie selbst verantwortlich sind, den DNS-Eintrag anzupassen, falls wir den Key wechseln. Wir werden in dem Fall betroffene Kunden informieren.

Externe Mail-Server

Sollten Sie Mails über externe Mailserver verschicken, aber gleichzeitig unseren DNS-Server nutzen, müssen Sie eventuell den DKIM-Schlüssel des externen Servers bei uns eintragen.

DMARC

Mittels DMARC kann man festlegen, wie andere Mailserver mit DKIM, SPF und fehlenden Signaturen umgehen sollen.

Leider gibt es mit DMARC verschiedene Probleme im Zusammenhang mit Mailinglisten und Weiterleitungen, für die es keine zufriedenstellende Lösung gibt. Wir aktivieren daher standardmäßig DMARC nur mit einer Policy im "soft"-Modus ("p=none"). Damit sollten andere Mailserver auch fehlerhaft oder nicht signierte Mails nicht ablehnen.

Sie haben die Möglichkeit, selbst einen DMARC-Record (TXT-Record mit prefix _dmarc) in den DNS-Einstellungen zu erstellen. Dieser überschreibt automatisch den von uns erstellten Record, damit haben Sie auf Wunsch die Möglichkeit, die Policy oder andere DMARC-Optionen selbst zu setzen. Natürlich gilt auch hier: Sie sind dann selbst verantwortlich.