DKIM/DMARC: Unterschied zwischen den Versionen
Rb (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „category:ueberarbeiten '''Diese Seite befindet sich derzeit in Bearbeitung.''' <!-- == Was ist DKIM? == ''DKIM'' steht für '''Domain Keys Identified Ma…“) |
Rb (Diskussion | Beiträge) |
||
| (9 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | [[category: | + | [[category:Domains]][[category:fertig]] |
| − | |||
| − | |||
== Was ist DKIM? == | == Was ist DKIM? == | ||
''DKIM'' steht für '''Domain Keys Identified Mail''' und funktioniert ähnlich wie ''SPF'' ([[DNS-Zonen#TXT-Records|Einrichtung hier erklärt]]). Hierbei wird aber nicht die IP-Adresse des sendenden Servers verglichen. | ''DKIM'' steht für '''Domain Keys Identified Mail''' und funktioniert ähnlich wie ''SPF'' ([[DNS-Zonen#TXT-Records|Einrichtung hier erklärt]]). Hierbei wird aber nicht die IP-Adresse des sendenden Servers verglichen. | ||
| − | DKIM nutzt hierfür | + | DKIM nutzt hierfür ein '''asymmetrisches Schlüsselpaar''' und signiert die E-Mail digital. Das sendende System nutzt den ''privaten'' Teil des asymmetrischen Schlüsselpaares und das ''öffentliche'' Gegenstück wird mit einem TXT-Record dem empfangenden System zugänglich gemacht. |
| − | Diese Signatur wird nun beim Versand einer E-Mail vom empfangenden Mailserver mittels veröffentlichtem Schlüssel der Domain abgeglichen. | + | Diese '''Signatur''' wird nun beim Versand einer E-Mail vom empfangenden Mailserver mittels veröffentlichtem Schlüssel der Domain abgeglichen. |
Wenn diese Überprüfung positiv ausfällt, ergibt sich daraus: Die E-Mail stammt vom richtigen Mailserver. | Wenn diese Überprüfung positiv ausfällt, ergibt sich daraus: Die E-Mail stammt vom richtigen Mailserver. | ||
=== Wie binde ich DKIM in den DNS-Zonen ein? === | === Wie binde ich DKIM in den DNS-Zonen ein? === | ||
| + | |||
| + | ===== Sie möchten das Artfiles DKIM nutzen? ===== | ||
| + | |||
| + | Hierzu müssen Sie in der DNS Zone Ihrer Domain folgenden CNAME-Eintrag ergänzen: | ||
| + | |||
| + | ''' | ||
| + | dcp-rsa-001._domainkey dcp-rsa-001._domainkey.dkim.dcpserver.de. | ||
| + | dcp-rsa-002._domainkey dcp-rsa-002._domainkey.dkim.dcpserver.de. | ||
| + | dcp-ed25519-001._domainkey dcp-ed25519-001._domainkey.dkim.dcpserver.de. | ||
| + | dcp-ed25519-002._domainkey dcp-ed25519-002._domainkey.dkim.dcpserver.de. | ||
| + | ''' | ||
| + | |||
| + | Beachten Sie bitte, dass für eine erfolgreiche DKIM Signierung Ihrer E-Mails die Domains der E-Mail Authentifizierung und der Absenderadressen übereinstimmen müssen. Wenn Sie also Ihre E-Mails mit dem Absender '''beispiel@dcpserver.de''' versenden, müssen Sie für die Anmeldung am E-Mail Server auch eine E-Mail Adresse der Domain '''dcpserver.de''' verwenden. Dies ist für das sogenannte „DKIM Alignment” notwendig. | ||
===== Sie möchten einen DKIM-Eintrag eines anderen Anbieters bei uns eintragen? ===== | ===== Sie möchten einen DKIM-Eintrag eines anderen Anbieters bei uns eintragen? ===== | ||
| Zeile 16: | Zeile 27: | ||
Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht: | Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht: | ||
| − | ''' | + | '''default._domainkey''' "v=DKIM1; k=rsa; p='''XXXXX''';" |
| − | ''' | + | '''default._domainkey''' variiert je nach Mailserver und der lange String hinter '''p''' beschreibt den öffentlichen Teil des Schlüsselpaares. |
== Was ist DMARC? == | == Was ist DMARC? == | ||
| − | '''DMARC''' bedeutet '''Domain-based Message Authentication, Reporting and Conformance''' und baut auf den Methoden SPF und DKIM auf. Sowohl SPF als auch DKIM prüfen die | + | '''DMARC''' bedeutet '''Domain-based Message Authentication, Reporting and Conformance''' und baut auf den Methoden SPF und DKIM auf. Sowohl SPF als auch DKIM prüfen die Domain im «Mail From» und nicht die Domain, die dem Benutzer angezeigt wird. DMARC bietet hiermit eine Einstellung, die mehr oder weniger zwingend fordert, dass einer der beiden Checks (SPF & DKIM) die gleiche Domain wie im «From»-Feld hat. |
Diese Methode gibt Feedback über die Überprüfungen und bietet zudem eine Auswertung der geprüften E-Mails. | Diese Methode gibt Feedback über die Überprüfungen und bietet zudem eine Auswertung der geprüften E-Mails. | ||
| − | ===== Sie möchten | + | ===== Sie möchten DMARC bei uns eintragen? ===== |
Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht: | Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht: | ||
| − | + | _dmarc "v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@example.com" | |
| + | |||
| + | Der Parameter '''p=''' beschreibt die '''Policy''' und kann ''none'', ''quarantine'' oder ''reject'' sein. | ||
| − | + | * '''none''': Keine Aktion wird ausgeführt. | |
| + | * '''quarantine''': Die Mails werden vom Empfänger als verdächtig eingestuft oder als Spam markiert. | ||
| + | * '''reject''': Bei nichtbestandener Prüfung soll die Mail abgelehnt werden. | ||
Aktuelle Version vom 11. April 2024, 09:16 Uhr
Was ist DKIM?
DKIM steht für Domain Keys Identified Mail und funktioniert ähnlich wie SPF (Einrichtung hier erklärt). Hierbei wird aber nicht die IP-Adresse des sendenden Servers verglichen. DKIM nutzt hierfür ein asymmetrisches Schlüsselpaar und signiert die E-Mail digital. Das sendende System nutzt den privaten Teil des asymmetrischen Schlüsselpaares und das öffentliche Gegenstück wird mit einem TXT-Record dem empfangenden System zugänglich gemacht. Diese Signatur wird nun beim Versand einer E-Mail vom empfangenden Mailserver mittels veröffentlichtem Schlüssel der Domain abgeglichen. Wenn diese Überprüfung positiv ausfällt, ergibt sich daraus: Die E-Mail stammt vom richtigen Mailserver.
Wie binde ich DKIM in den DNS-Zonen ein?
Sie möchten das Artfiles DKIM nutzen?
Hierzu müssen Sie in der DNS Zone Ihrer Domain folgenden CNAME-Eintrag ergänzen:
dcp-rsa-001._domainkey dcp-rsa-001._domainkey.dkim.dcpserver.de. dcp-rsa-002._domainkey dcp-rsa-002._domainkey.dkim.dcpserver.de. dcp-ed25519-001._domainkey dcp-ed25519-001._domainkey.dkim.dcpserver.de. dcp-ed25519-002._domainkey dcp-ed25519-002._domainkey.dkim.dcpserver.de.
Beachten Sie bitte, dass für eine erfolgreiche DKIM Signierung Ihrer E-Mails die Domains der E-Mail Authentifizierung und der Absenderadressen übereinstimmen müssen. Wenn Sie also Ihre E-Mails mit dem Absender beispiel@dcpserver.de versenden, müssen Sie für die Anmeldung am E-Mail Server auch eine E-Mail Adresse der Domain dcpserver.de verwenden. Dies ist für das sogenannte „DKIM Alignment” notwendig.
Sie möchten einen DKIM-Eintrag eines anderen Anbieters bei uns eintragen?
Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht:
default._domainkey "v=DKIM1; k=rsa; p=XXXXX;"
default._domainkey variiert je nach Mailserver und der lange String hinter p beschreibt den öffentlichen Teil des Schlüsselpaares.
Was ist DMARC?
DMARC bedeutet Domain-based Message Authentication, Reporting and Conformance und baut auf den Methoden SPF und DKIM auf. Sowohl SPF als auch DKIM prüfen die Domain im «Mail From» und nicht die Domain, die dem Benutzer angezeigt wird. DMARC bietet hiermit eine Einstellung, die mehr oder weniger zwingend fordert, dass einer der beiden Checks (SPF & DKIM) die gleiche Domain wie im «From»-Feld hat. Diese Methode gibt Feedback über die Überprüfungen und bietet zudem eine Auswertung der geprüften E-Mails.
Sie möchten DMARC bei uns eintragen?
Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht:
_dmarc "v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@example.com"
Der Parameter p= beschreibt die Policy und kann none, quarantine oder reject sein.
- none: Keine Aktion wird ausgeführt.
- quarantine: Die Mails werden vom Empfänger als verdächtig eingestuft oder als Spam markiert.
- reject: Bei nichtbestandener Prüfung soll die Mail abgelehnt werden.