DKIM/DMARC: Unterschied zwischen den Versionen

Keine Bearbeitungszusammenfassung
 
(10 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
[[category:ueberarbeiten]]  
[[category:Domains]][[category:fertig]]


== Was ist DKIM? ==
== Was ist DKIM? ==
Zeile 9: Zeile 9:


=== Wie binde ich DKIM in den DNS-Zonen ein? ===
=== Wie binde ich DKIM in den DNS-Zonen ein? ===
===== Sie möchten das Artfiles DKIM nutzen? =====
Hierzu müssen Sie in der DNS Zone Ihrer Domain folgenden CNAME-Eintrag ergänzen:
'''
dcp-rsa-001._domainkey dcp-rsa-001._domainkey.dkim.dcpserver.de.
dcp-rsa-002._domainkey dcp-rsa-002._domainkey.dkim.dcpserver.de.
dcp-ed25519-001._domainkey dcp-ed25519-001._domainkey.dkim.dcpserver.de.
dcp-ed25519-002._domainkey dcp-ed25519-002._domainkey.dkim.dcpserver.de.
'''
Beachten Sie bitte, dass für eine erfolgreiche DKIM Signierung Ihrer E-Mails die Domains der E-Mail Authentifizierung und der Absenderadressen übereinstimmen müssen. Wenn Sie also Ihre E-Mails mit dem Absender '''beispiel@dcpserver.de''' versenden, müssen Sie für die Anmeldung am E-Mail Server auch eine E-Mail Adresse der Domain '''dcpserver.de''' verwenden. Dies ist für das sogenannte „DKIM Alignment” notwendig.


===== Sie möchten einen DKIM-Eintrag eines anderen Anbieters bei uns eintragen? =====  
===== Sie möchten einen DKIM-Eintrag eines anderen Anbieters bei uns eintragen? =====  
Zeile 14: Zeile 27:
Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht:
Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht:
    
    
   '''default_.domainkey''' "v=DKIM1; k=rsa; p='''XXXXX''';"
   '''default._domainkey''' "v=DKIM1; k=rsa; p='''XXXXX''';"


'''default_.domainkey''' variiert je nach Mailserver und der lange String hinter '''p''' beschreibt den öffentlichen Teil des Schlüsselpaares.  
'''default._domainkey''' variiert je nach Mailserver und der lange String hinter '''p''' beschreibt den öffentlichen Teil des Schlüsselpaares.


== Was ist DMARC? ==
== Was ist DMARC? ==


'''DMARC''' bedeutet '''Domain-based Message Authentication, Reporting and Conformance''' und baut auf den Methoden SPF und DKIM auf. Sowohl SPF als auch DKIM prüfen die Domäne im «Mail From» und nicht die Domäne, die dem Benutzer angezeigt wird. DMARC bietet hiermit eine Einstellung, die mehr oder weniger zwingend fordert, dass einer der beiden Checks (SPF & DKIM) die gleiche Domäne wie im «From»-Feld hat.  
'''DMARC''' bedeutet '''Domain-based Message Authentication, Reporting and Conformance''' und baut auf den Methoden SPF und DKIM auf. Sowohl SPF als auch DKIM prüfen die Domain im «Mail From» und nicht die Domain, die dem Benutzer angezeigt wird. DMARC bietet hiermit eine Einstellung, die mehr oder weniger zwingend fordert, dass einer der beiden Checks (SPF & DKIM) die gleiche Domain wie im «From»-Feld hat.  
Diese Methode gibt Feedback über die Überprüfungen und bietet zudem eine Auswertung der geprüften E-Mails.
Diese Methode gibt Feedback über die Überprüfungen und bietet zudem eine Auswertung der geprüften E-Mails.


Zeile 27: Zeile 40:
Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht:
Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht:


  v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@example.com
_dmarc "v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@example.com"


Der Parameter '''p=''' beschreibt die '''Policy''' und kann ''none'', ''quarantine'' oder ''reject'' sein.
Der Parameter '''p=''' beschreibt die '''Policy''' und kann ''none'', ''quarantine'' oder ''reject'' sein.
Zeile 33: Zeile 46:
* '''none''': Keine Aktion wird ausgeführt.
* '''none''': Keine Aktion wird ausgeführt.
* '''quarantine''': Die Mails werden vom Empfänger als verdächtig eingestuft oder als Spam markiert.
* '''quarantine''': Die Mails werden vom Empfänger als verdächtig eingestuft oder als Spam markiert.
* '''reject''': Bei nichtbestandener Prüfung soll die Mail abgelehnt werden.
* '''reject''': Bei nicht-bestandener Prüfung soll die Mail abgelehnt werden.
* '''rua''': Hiermit erhält man alle 24 Stunden aggregierte Reports über E-Mails der eigenen Domain.
* '''ruf''': Hiermit erhält man sofort eine E-Mail, wenn E-Mails der eigenen Domain mit falschem SPF oder DKIM versendet wurde.
 
Beachten Sie bitte: Die Optionen '''rua''' und '''ruf''' sollten Sie nur setzen, wenn Sie diese automatisierten E-Mails auch erhalten und gegebenenfalls auswerten wollen. Es ist auch nicht sichergestellt, dass alle E-Mail Server im Internet solche Reports versenden. Im einfachsten Fall lassen Sie beide Optionen einfach weg. Weitere Erläuterungen erhalten Sie auch in diesem [https://de.wikipedia.org/wiki/DMARC Wikipedia Artikel zu DMARC].

Aktuelle Version vom 7. Oktober 2024, 09:28 Uhr


Was ist DKIM?

DKIM steht für Domain Keys Identified Mail und funktioniert ähnlich wie SPF (Einrichtung hier erklärt). Hierbei wird aber nicht die IP-Adresse des sendenden Servers verglichen. DKIM nutzt hierfür ein asymmetrisches Schlüsselpaar und signiert die E-Mail digital. Das sendende System nutzt den privaten Teil des asymmetrischen Schlüsselpaares und das öffentliche Gegenstück wird mit einem TXT-Record dem empfangenden System zugänglich gemacht. Diese Signatur wird nun beim Versand einer E-Mail vom empfangenden Mailserver mittels veröffentlichtem Schlüssel der Domain abgeglichen. Wenn diese Überprüfung positiv ausfällt, ergibt sich daraus: Die E-Mail stammt vom richtigen Mailserver.

Wie binde ich DKIM in den DNS-Zonen ein?

Sie möchten das Artfiles DKIM nutzen?

Hierzu müssen Sie in der DNS Zone Ihrer Domain folgenden CNAME-Eintrag ergänzen:

dcp-rsa-001._domainkey dcp-rsa-001._domainkey.dkim.dcpserver.de.
dcp-rsa-002._domainkey dcp-rsa-002._domainkey.dkim.dcpserver.de.
dcp-ed25519-001._domainkey dcp-ed25519-001._domainkey.dkim.dcpserver.de.
dcp-ed25519-002._domainkey dcp-ed25519-002._domainkey.dkim.dcpserver.de.

Beachten Sie bitte, dass für eine erfolgreiche DKIM Signierung Ihrer E-Mails die Domains der E-Mail Authentifizierung und der Absenderadressen übereinstimmen müssen. Wenn Sie also Ihre E-Mails mit dem Absender beispiel@dcpserver.de versenden, müssen Sie für die Anmeldung am E-Mail Server auch eine E-Mail Adresse der Domain dcpserver.de verwenden. Dies ist für das sogenannte „DKIM Alignment” notwendig.

Sie möchten einen DKIM-Eintrag eines anderen Anbieters bei uns eintragen?

Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht:

  default._domainkey "v=DKIM1; k=rsa; p=XXXXX;"

default._domainkey variiert je nach Mailserver und der lange String hinter p beschreibt den öffentlichen Teil des Schlüsselpaares.

Was ist DMARC?

DMARC bedeutet Domain-based Message Authentication, Reporting and Conformance und baut auf den Methoden SPF und DKIM auf. Sowohl SPF als auch DKIM prüfen die Domain im «Mail From» und nicht die Domain, die dem Benutzer angezeigt wird. DMARC bietet hiermit eine Einstellung, die mehr oder weniger zwingend fordert, dass einer der beiden Checks (SPF & DKIM) die gleiche Domain wie im «From»-Feld hat. Diese Methode gibt Feedback über die Überprüfungen und bietet zudem eine Auswertung der geprüften E-Mails.

Sie möchten DMARC bei uns eintragen?

Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht:

_dmarc "v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@example.com"

Der Parameter p= beschreibt die Policy und kann none, quarantine oder reject sein.

  • none: Keine Aktion wird ausgeführt.
  • quarantine: Die Mails werden vom Empfänger als verdächtig eingestuft oder als Spam markiert.
  • reject: Bei nicht-bestandener Prüfung soll die Mail abgelehnt werden.
  • rua: Hiermit erhält man alle 24 Stunden aggregierte Reports über E-Mails der eigenen Domain.
  • ruf: Hiermit erhält man sofort eine E-Mail, wenn E-Mails der eigenen Domain mit falschem SPF oder DKIM versendet wurde.

Beachten Sie bitte: Die Optionen rua und ruf sollten Sie nur setzen, wenn Sie diese automatisierten E-Mails auch erhalten und gegebenenfalls auswerten wollen. Es ist auch nicht sichergestellt, dass alle E-Mail Server im Internet solche Reports versenden. Im einfachsten Fall lassen Sie beide Optionen einfach weg. Weitere Erläuterungen erhalten Sie auch in diesem Wikipedia Artikel zu DMARC.