2
Implementierung von SPF, DKIM und DMARC auf Postfix oder vHost
Hallo alle zusammen,
eine E-Mail an einen Empfänger der offensichtlich ein GMail-Konto hat wird leider abgelehnt, woraufhin ich dann folgende Meldung bekomme:
Ich habe mir natürlich die Vorschläge von Google zu Herzen genommen und möchte nun auch SPF/DKIM/DMARC auf meinem Server implementieren, in der Hoffnung, dass ich dann auch an GMail-Konten E-Mail versenden kann. Wie man sieht existiert bereits ein SPF-Record im DNS. Dieser scheint auch zu funktionieren.. trotzdem bin ich mir nicht so richtig sicher, ob er für meine Umgebung auch optimal gewählt ist.
Davon abgesehen weiß ich nicht wie und besonders wo ich DKIM/DMARC in meiner Umgebung einsetzen muss. Ich hoffe, dass mir da jemand was zu sagen kann.
Hierzu erst einmal ein paar Informationen zu meiner Umgebung:
Als E-Mail-Server habe ich einen Postfix der einen HostEurope vServer als Smarthost einsetzt. Meine Domain liegt bei Regfish und zeigt auf eine DynDNS-Adresse die wiederum auf meine dynamische IP zeigt. Als Clients nutze ich überwiegend Thunderbird oder Horde Groupware. Alle Clients bis auf die mobilen Geräte signieren ausgende E-Mails mit einem S/MIME Zertifikat von StartSSL.
Ausgehend:
Horde Groupware (horde-srv.mydomain.net; kann aus dem Internet nicht aufgelöst werden, da lokal) >> Postfix/Dovecot (mail-srv.mydomain.net; auch lokal) >> Smarthost/vHost (www.mydomain.net) >> Empfänger.
Die IP des vHosts wird auf www.mydomain.net (Reverse DNS) und anders herum aufgelöst. Der SPF-Record sieht so aus:
Hier habe ich die IP des vHosts/Smarthosts, die auf meine externe IP zeigende DynDNS-Adresse und die FQDN des lokalen Postfix und des Smarthosts. Meine erste Frage: Sollte ich hier etwas ergänzen oder ist sogar etwas überflüssig?
Wenn ich es richtig verstanden habe, muss ich für DKIM einen privaten und öffentlichen Schlüssel generieren und meinen Mailserver mit dem privaten ausstatten, sowie den DNS-Server meiner Domain mit dem öffentlichen Schlüssel und einem Policy Record, richtig?
Nun zu meiner Hauptfrage: Welchen Mailserver muss ich nun mit dem privaten Schlüssel signieren lassen? Den Smarthost im Internet oder meinen lokalen Postfix?
Das wären erst einmal die wichtigsten Fragen ;) Im Laufe der Einrichtung kommen sicher noch welche dazu..
Grüße,
Karsten
eine E-Mail an einen Empfänger der offensichtlich ein GMail-Konto hat wird leider abgelehnt, woraufhin ich dann folgende Meldung bekomme:
Delivery to the following recipient failed permanently:
support@empfaenger.com
Technical details of permanent failure:
Message rejected by Google Groups. Please visit http://mail.google.com/support/bin/answer.py?hl=en&answer=188131 to review our Bulk Email > Senders Guidelines.
-- Original message --
X-Received: by 10.14.37.134 with SMTP id y6mr11273120eea.32.1399621921909;
Fri, 09 May 2014 00:52:01 -0700 (PDT)
Return-Path: <karsten@mydomain.net>
Received: from www.mydomain.net (www.mydomain.net. [56.163.75.99])
by mx.google.com with ESMTPS id o41si3487234eem.33.2014.05.09.00.52.01
for <support@empfaenger.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Fri, 09 May 2014 00:52:01 -0700 (PDT)
Received-SPF: pass (google.com: domain of karsten@mydomain.net designates 56.163.75.99 as permitted sender) client-ip=56.163.75.99;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of karsten@mydomain.net designates 56.163.75.99 as permitted sender) smtp.mail=karsten@mydomain.net
Received: (qmail 20343 invoked from network); 9 May 2014 09:52:01 +0200
Received: from 51-16-165-238-dynip.superkabel.de (HELO mail-srv.mydomain.net) (51.16.165.238)
by www.mydomain.net with ESMTPA; 9 May 2014 09:52:01 +0200
Received: from localhost (localhost [127.0.0.1])
by mail-srv.mydomain.net (Postfix) with ESMTP id 8DFF1182C5B
for <support@empfaenger.com>; Fri, 9 May 2014 09:52:00 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at mail-srv.mydomain.net
Received: from mail-srv.mydomain.net ([127.0.0.1])
by localhost (mail-srv.mydomain.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id DRxh94gfKdpt for <support@empfaenger.com>;
Fri, 9 May 2014 09:51:55 +0200 (CEST)
Received: from horde-srv (horde-srv.mydomain.net [192.168.10.10])
(Authenticated sender: karsten@mydomain.net)
by mail-srv.mydomain.net (Postfix) with ESMTPSA id 2B6ED182C0A
for <support@empfaenger.com>; Fri, 9 May 2014 09:51:55 +0200 (CEST)
Received: from 51-16-165-238-dynip.superkabel.de by
webmail.mydomain.net (Horde Framework) with HTTP; Fri, 09 May 2014 07:51:49 +0000
Date: Fri, 09 May 2014 07:51:49 +0000
Message-ID: <20140509075149.Horde.YWeMhiFnN-sS4ardq0tsUA1@webmail.mydomain.net>
From: Karsten <karsten@mydomain.net>
To: Empfaenger <support@empfaenger.com>
Subject: Betreff
References: <trinity-f1943ee3-5a6b-44d8-8fc6-7f1c4ae396b4-1399298563705@3capp-webde-bs08>
<reply-4604-23240068-71163214-1399584362-1174859848@help.net>
In-Reply-To: <reply-4604-22330068-71163214-1399584362-1174859848@help.net>
User-Agent: Internet Messaging Program (IMP) H5 (6.1.7)
Content-Type: multipart/signed; boundary="=_Ino1TuPUOvCKhXwCQqGkPw1";
protocol="application/pkcs7-signature"; micalg=sha-1
MIME-Version: 1.0
support@empfaenger.com
Technical details of permanent failure:
Message rejected by Google Groups. Please visit http://mail.google.com/support/bin/answer.py?hl=en&answer=188131 to review our Bulk Email > Senders Guidelines.
-- Original message --
X-Received: by 10.14.37.134 with SMTP id y6mr11273120eea.32.1399621921909;
Fri, 09 May 2014 00:52:01 -0700 (PDT)
Return-Path: <karsten@mydomain.net>
Received: from www.mydomain.net (www.mydomain.net. [56.163.75.99])
by mx.google.com with ESMTPS id o41si3487234eem.33.2014.05.09.00.52.01
for <support@empfaenger.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Fri, 09 May 2014 00:52:01 -0700 (PDT)
Received-SPF: pass (google.com: domain of karsten@mydomain.net designates 56.163.75.99 as permitted sender) client-ip=56.163.75.99;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of karsten@mydomain.net designates 56.163.75.99 as permitted sender) smtp.mail=karsten@mydomain.net
Received: (qmail 20343 invoked from network); 9 May 2014 09:52:01 +0200
Received: from 51-16-165-238-dynip.superkabel.de (HELO mail-srv.mydomain.net) (51.16.165.238)
by www.mydomain.net with ESMTPA; 9 May 2014 09:52:01 +0200
Received: from localhost (localhost [127.0.0.1])
by mail-srv.mydomain.net (Postfix) with ESMTP id 8DFF1182C5B
for <support@empfaenger.com>; Fri, 9 May 2014 09:52:00 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at mail-srv.mydomain.net
Received: from mail-srv.mydomain.net ([127.0.0.1])
by localhost (mail-srv.mydomain.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id DRxh94gfKdpt for <support@empfaenger.com>;
Fri, 9 May 2014 09:51:55 +0200 (CEST)
Received: from horde-srv (horde-srv.mydomain.net [192.168.10.10])
(Authenticated sender: karsten@mydomain.net)
by mail-srv.mydomain.net (Postfix) with ESMTPSA id 2B6ED182C0A
for <support@empfaenger.com>; Fri, 9 May 2014 09:51:55 +0200 (CEST)
Received: from 51-16-165-238-dynip.superkabel.de by
webmail.mydomain.net (Horde Framework) with HTTP; Fri, 09 May 2014 07:51:49 +0000
Date: Fri, 09 May 2014 07:51:49 +0000
Message-ID: <20140509075149.Horde.YWeMhiFnN-sS4ardq0tsUA1@webmail.mydomain.net>
From: Karsten <karsten@mydomain.net>
To: Empfaenger <support@empfaenger.com>
Subject: Betreff
References: <trinity-f1943ee3-5a6b-44d8-8fc6-7f1c4ae396b4-1399298563705@3capp-webde-bs08>
<reply-4604-23240068-71163214-1399584362-1174859848@help.net>
In-Reply-To: <reply-4604-22330068-71163214-1399584362-1174859848@help.net>
User-Agent: Internet Messaging Program (IMP) H5 (6.1.7)
Content-Type: multipart/signed; boundary="=_Ino1TuPUOvCKhXwCQqGkPw1";
protocol="application/pkcs7-signature"; micalg=sha-1
MIME-Version: 1.0
Ich habe mir natürlich die Vorschläge von Google zu Herzen genommen und möchte nun auch SPF/DKIM/DMARC auf meinem Server implementieren, in der Hoffnung, dass ich dann auch an GMail-Konten E-Mail versenden kann. Wie man sieht existiert bereits ein SPF-Record im DNS. Dieser scheint auch zu funktionieren.. trotzdem bin ich mir nicht so richtig sicher, ob er für meine Umgebung auch optimal gewählt ist.
Davon abgesehen weiß ich nicht wie und besonders wo ich DKIM/DMARC in meiner Umgebung einsetzen muss. Ich hoffe, dass mir da jemand was zu sagen kann.
Hierzu erst einmal ein paar Informationen zu meiner Umgebung:Als E-Mail-Server habe ich einen Postfix der einen HostEurope vServer als Smarthost einsetzt. Meine Domain liegt bei Regfish und zeigt auf eine DynDNS-Adresse die wiederum auf meine dynamische IP zeigt. Als Clients nutze ich überwiegend Thunderbird oder Horde Groupware. Alle Clients bis auf die mobilen Geräte signieren ausgende E-Mails mit einem S/MIME Zertifikat von StartSSL.
Ausgehend:
Horde Groupware (horde-srv.mydomain.net; kann aus dem Internet nicht aufgelöst werden, da lokal) >> Postfix/Dovecot (mail-srv.mydomain.net; auch lokal) >> Smarthost/vHost (www.mydomain.net) >> Empfänger.
Die IP des vHosts wird auf www.mydomain.net (Reverse DNS) und anders herum aufgelöst. Der SPF-Record sieht so aus:
v=spf1 a mx ptr ip4:56.163.75.99 a:zuhause.no-ip.org mx:mail-srv.mydomain.net mx:mail.mydomain.net -all
Hier habe ich die IP des vHosts/Smarthosts, die auf meine externe IP zeigende DynDNS-Adresse und die FQDN des lokalen Postfix und des Smarthosts. Meine erste Frage: Sollte ich hier etwas ergänzen oder ist sogar etwas überflüssig?
Wenn ich es richtig verstanden habe, muss ich für DKIM einen privaten und öffentlichen Schlüssel generieren und meinen Mailserver mit dem privaten ausstatten, sowie den DNS-Server meiner Domain mit dem öffentlichen Schlüssel und einem Policy Record, richtig?
Nun zu meiner Hauptfrage: Welchen Mailserver muss ich nun mit dem privaten Schlüssel signieren lassen? Den Smarthost im Internet oder meinen lokalen Postfix?
Das wären erst einmal die wichtigsten Fragen ;) Im Laufe der Einrichtung kommen sicher noch welche dazu..
Grüße,
Karsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 237620
Url: https://administrator.de/contentid/237620
Printed on: April 23, 2024 at 16:04 o'clock
2 Comments
Latest comment
äh,.. *push*. Kann doch nicht sein, dass hier niemand was darüber weiß?
Noch immer niemand?
