SPF/DKIM/DMARC

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19578

06.07.2021 - 08:48

Ich muss gerade ein Problem für einen Kunden lösen der scheinbar Emails mit Adressen von anderen Domains verschickt (der Kunde ist halt Service-Dienstleister von anderen Firmen und wickelt Nachrichten von diesen ab).

Klarerweise landen viele dieser Mails im Spam da Firma X natürlich nicht mit Mail-Adressen von Firma Y verschicken kann.

Meine Frage dabei, was wäre die korrekte Vorgehensweise?
Es wurde nach DKIM gefragt (dass wir das in unseren Nachrichtenservice einbauen), aber soweit ich das verstehe ist das nur ein Schutz gegen Ändern der Nachricht und hat mal nichts mit der Herkunft zu tun!?
Dafür wäre ja eher SPF zuständig (und DMARC dürfte einfach ein Framework sein um beides zu verbinden), allerdings wird ein SPF Check ja wohl am DNS Server für die jeweilige Domain gemacht logischerweise? D.h. "Kunde Y vom Dienstleister X" müsste in seinen DNS Records die öffentliche IP Adresse vom Dienstleister X hinterlegen damit dieser auch "als Kunde Y" verschicken darf?

Alternative die mir einfallen würde > Mails von Kunde Y (dito für alle anderen Kunden) an einen Mail-Relay Server von Kunde Y damit dieser dann die Mails öffentlich rausschickt (ist dann halt wieder ein System wovon man abhängig ist und wo etwas schief gehen kann).

Sehe ich das richtig oder übersehe ich da was?

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11897

06.07.2021 - 10:05

Ich verstehe die Frage nicht. Sollst du dich um die Deliverability bei beliebigen Empfaengern kuemmern, oder darum, dass Mails von einem bestimmten Absender-MTA bei euren MX nicht mehr im Spamfilter haengenbleiben? Was bedeutet "mit Adressen von anderen Domains" - im Envelope oder Header From?

An DKIM, SPF und DMARC fuehrt fuer eine akzeptable Deliverability eh kein Weg vorbei, insofern wirst du dich auch bei "alternativen" Loesungsansaetzen ggenauso damit auseinandersetzen muessen. Wenn die einzige Huerde (neben der Rekonfiguration der Sender-MTAs) das Manipulieren der DNS-Zone verschiedener Domains ist, wuerde ich mich hueten, einen extra SMTP-Hop einzufuegen, und damit vielleicht ueber Jahre akkumulierte IP-Domain-Reputation zu verlieren.

Imo: Am besten waer's, du wuerdest dieses Thema an jemanden uebergeben, dessen taeglich Brot Mail ist. Die Thematik ist zu wichtig und zu komplex, als dass man sie mal einfach nebenbei erleidgen koennte, und dann bestimmt alles in Butter ist.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48837

06.07.2021 - 10:56

Ich hab aus Berufswegen etwas Erfahrung damit.
Im Grunde kann ich mich Colo nur anschließen, das Thema ist nicht trivial und Mails haben kein Netz und doppelten Boden. Da kann rasch was schiefgehen.

Lieber zu einem Profi der sich drum kümmert auslagern oder einen entsprechenden Admin zahlen der das einrichtet und wartet.

tialk

Here to stay

Registered: May 2002
Location: vo/stmk
Posts: 3277

06.07.2021 - 13:10

wenn wir alles andre außen vor lassen - jo die "Firmen Y's" könnten den "absender Firma X" in deren SPF inkludieren (zb. ipv4 oder include).

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3659

06.07.2021 - 13:21

Die korrekteste Vorgehensweise wäre, über den Mailserver vom Kunden zu verschicken, rein imho natürlich. D.h. vom Kunden eine Mailbox anfordern, wir geben unseren Dienstleistern teilweise welche.

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6293

06.07.2021 - 13:46

Man könnte ja einen fiktiven Testkunden anlegen und mit dem experimentieren, bevor es an die echten Kunden geht,
mit easydmarc.com und mxtoolbox.com solltest du schon relativ weit kommen.

Dennoch würde ich auch empfehlen, einen Mailexperten an der Hand zu haben, der das schonmal eingerichtet hat, idealerweise mit der gleichen Mailserver Software mit der das dann produktiv gehen soll.
Denn die Unterschiede bei Featuresets und Konfigurationen von Mailservern sind gewaltig. Ich bin froh, dass das nicht mein täglich Brot ist

Bearbeitet von mr.nice. am 06.07.2021, 13:50

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19578

06.07.2021 - 14:04

Dass es komplex ist ist mir schon klar. Ich bin auch nicht der Admin der bei irgendwelchen Kunden da irgendwas wartet oder einrichtet.

Ich möchte nur verstehen wie es genau funktioniert.

Hintergrund ist das wir eine Software ausliefern die auch Mails sendet, ist natürlich historisch gewachsen und hat (noch) keinen Support für DKIM (oder SPF oder DMARC).

Ich nenne unseren Kunden jetzt einfach mal "KUNDE"
und den Kunden den der serviciert "COMPANY"

Der KUNDE bekommt jetzt allerdings Mails abgelehnt weil COMPANY jetzt DKIM Checks durchführt (lt. eigener Aussage).
Unsere Software macht allerdings selbst keine SPF checks noch schreibt die irgendeinen DKIM Header in die Mail.

Es ist derzeit so dass KUNDE in gewissen Fällen mit quasi fremden SMTP Adressen (COMPANY1) schickt.
Ich gehe jetzt mal im schlimmsten Fall davon aus das sowohl die Envelope als auch die MIME From: Header Adresse vom servicierten Kunden ist (genau kann ich es noch nicht sagen weil ich noch kein Trace/Log mit der Info bekommen habe) - aber das wäre Einstellbar je nachdem wie KUNDE es haben will.

Ein SPF Check hätte in dem Fall allerdings nichts mit unserer Software zu tun soweit ich das verstehe - das ist rein eine Sache von COMPANY und deren DNS Server?

Wie funktioniert in so einem Workflow DKIM?
Der Outbound Mailserver schreibt einen DKIM Header signed mit einem private key auf unserer (KUNDE) Seite afaik.
Aber wo wird dass dann geprüft, auch am DNS Server der Domain der Envelope (oder MIME Header From

Adresse (sprich nicht vom eigentlichen Ursprung)?

Zitat aus einem Post von nexus_VI
Die korrekteste Vorgehensweise wäre, über den Mailserver vom Kunden zu verschicken, rein imho natürlich. D.h. vom Kunden eine Mailbox anfordern, wir geben unseren Dienstleistern teilweise welche.

Das war mein erster Vorschlag an unseren Kunden, dann gibt es nämlich keine Troubles wegen irgendwelchen komischen Konstellationen.

P.S.: Vergaß zu fragen: Was passiert üblicherweise wenn Mails ohne DKIM Header reinkommen (sprich Sender der DKIM nicht kann). Die können ja nicht ernsthaft als "böse" angesehen werden - oder etwa doch?

Bearbeitet von daisho am 06.07.2021, 14:06

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3659

06.07.2021 - 14:06

Ja, am DNS Server gibt es entsprechend auch einen DKIM Eintrag.

Eure Software muss dafür nix besonderes können, kann aber schon in hohem Verwaltungsaufwand resultieren.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48837

06.07.2021 - 14:58

Wenn es keinen dkim DNS Eintrag gibt und auch kein Header gesetzt wird passiert nicht viel (evtl wird ein Spamscore minimal erhöht) gibt's aber einen DKIM Eintrag und im Header passt der nicht dann musst froh sein wenn die Mail nicht komplett abgelehnt wird.

Ich würde in dem Fall über einen Smart Host verschicken (im Grunde ein relay der sich auch um die security kümmert)

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Kadaverstern
Posts: 11812

06.07.2021 - 15:52

Ich versuch das mal kurz zusammenzufassen:

- Sowohl SPF als auch DKIM dienen dazu, einem empfangenden MTA zu ermöglichen, die Vertrauenswürdigkeit einer empfangenen Mail zu verifizieren.

- Ob, und was der empfangende MTA dann mit der Information macht oder nicht macht, kann man nicht direkt beeinflussen. Man kann aber via DMARC Record im DNS von <senderdomain> Empfehlungen zur Behandlung bekannt geben.

- Über den SPF Record gibst du an, welche Server vertrauenswürdige Sender für <senderdomain> sind. Das kann auch ein Relay eines Dritten sein. Man kann auch SPF Records einer anderen Domain (z.B. des Relay-Betreibers) in seinen eingene includen.

- Bei DKIM signiert ein ausgehender Server Mailheader und Body und fügt die DKIM-Signature in den Header ein. Die beinhaltet die Hashes und notwendigen Informationen, die der Empfänger braucht, um die Signaturen zu verifizieren. Das Signieren kann auch ein Relay eines Dritten übernehmen.
Es muss entsprechend einen DNS-Eintrag geben, der den passenden Public Key enthält.

eitschpi

alpakaflüsterer

Registered: Dec 2004
Location: eierbärhausen
Posts: 4363

19.06.2023 - 18:48

Ich hab das Problem, dass meine Mails z.B. von Gmail abgelehnt werden. Das kommt in der Antwort: https://support.google.com/mail/ans...#authentication

Bei meiner Domain kann ich nur die Nameserver setzen, mein Webspace liegt bei einem Freund. Da hab ich nur Zugriff auf diese Parallels-Oberfläche und kann an den Nameservern nichts ändern. Die Records müssten dann bei den Nameservern von meinem Freund gesetzt werden. Stimmt das so?

/edit: Und wenn ich z.B. zu Hetzner wechsel wird das wohl schon eingestellt sein?

Bearbeitet von eitschpi am 19.06.2023, 18:56

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

19.06.2023 - 20:00

die nameserver sollst eh nicht ändern aber du musst eben zumindest einen SPF record setzen (lassen)
dazu musst jetzt nicht unbedingt die domain umziehen wenn das dein freund für dich mit seinem zugang erledigen kann

edit: nein, im normalfall wird dir kein hoster "automatisch" einen SPF Entry setzen weil damit mehr kaputt gemacht werden kann als geholfen

eitschpi

alpakaflüsterer

Registered: Dec 2004
Location: eierbärhausen
Posts: 4363

19.06.2023 - 20:09

Der meldet sich seit einer Weile nicht zurück, keine Ahnung warum.

Aber es gibt ja keine Alternative, außer keine Mails mehr an Gmail-Adressen zu schicken?

DAO

Si vis pacem, para bellum

Registered: Mar 2001
Location: Austria
Posts: 4907

19.06.2023 - 20:22

zieh dein zeugs zu nem anbieter um wo du die dns records selbst verwalten kannst und richte dir die einträge im dns ein.
bzw hol dir dann jemand ders für dich einrichtet.

eitschpi

alpakaflüsterer

Registered: Dec 2004
Location: eierbärhausen
Posts: 4363

19.06.2023 - 20:33

Na das krieg ich dann wahrscheinlich eh hin, wollte nur sichergehen, dass es nicht irgendwas beim Domainanbieter ist. Danke!

daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19578	06.07.2021 - 08:48 Ich muss gerade ein Problem für einen Kunden lösen der scheinbar Emails mit Adressen von anderen Domains verschickt (der Kunde ist halt Service-Dienstleister von anderen Firmen und wickelt Nachrichten von diesen ab). Klarerweise landen viele dieser Mails im Spam da Firma X natürlich nicht mit Mail-Adressen von Firma Y verschicken kann. Meine Frage dabei, was wäre die korrekte Vorgehensweise? Es wurde nach DKIM gefragt (dass wir das in unseren Nachrichtenservice einbauen), aber soweit ich das verstehe ist das nur ein Schutz gegen Ändern der Nachricht und hat mal nichts mit der Herkunft zu tun!? Dafür wäre ja eher SPF zuständig (und DMARC dürfte einfach ein Framework sein um beides zu verbinden), allerdings wird ein SPF Check ja wohl am DNS Server für die jeweilige Domain gemacht logischerweise? D.h. "Kunde Y vom Dienstleister X" müsste in seinen DNS Records die öffentliche IP Adresse vom Dienstleister X hinterlegen damit dieser auch "als Kunde Y" verschicken darf? Alternative die mir einfallen würde > Mails von Kunde Y (dito für alle anderen Kunden) an einen Mail-Relay Server von Kunde Y damit dieser dann die Mails öffentlich rausschickt (ist dann halt wieder ein System wovon man abhängig ist und wo etwas schief gehen kann). Sehe ich das richtig oder übersehe ich da was?
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11897	06.07.2021 - 10:05 Ich verstehe die Frage nicht. Sollst du dich um die Deliverability bei beliebigen Empfaengern kuemmern, oder darum, dass Mails von einem bestimmten Absender-MTA bei euren MX nicht mehr im Spamfilter haengenbleiben? Was bedeutet "mit Adressen von anderen Domains" - im Envelope oder Header From? An DKIM, SPF und DMARC fuehrt fuer eine akzeptable Deliverability eh kein Weg vorbei, insofern wirst du dich auch bei "alternativen" Loesungsansaetzen ggenauso damit auseinandersetzen muessen. Wenn die einzige Huerde (neben der Rekonfiguration der Sender-MTAs) das Manipulieren der DNS-Zone verschiedener Domains ist, wuerde ich mich hueten, einen extra SMTP-Hop einzufuegen, und damit vielleicht ueber Jahre akkumulierte IP-Domain-Reputation zu verlieren. Imo: Am besten waer's, du wuerdest dieses Thema an jemanden uebergeben, dessen taeglich Brot Mail ist. Die Thematik ist zu wichtig und zu komplex, als dass man sie mal einfach nebenbei erleidgen koennte, und dann bestimmt alles in Butter ist.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48837	06.07.2021 - 10:56 Ich hab aus Berufswegen etwas Erfahrung damit. Im Grunde kann ich mich Colo nur anschließen, das Thema ist nicht trivial und Mails haben kein Netz und doppelten Boden. Da kann rasch was schiefgehen. Lieber zu einem Profi der sich drum kümmert auslagern oder einen entsprechenden Admin zahlen der das einrichtet und wartet.
tialk Here to stay Registered: May 2002 Location: vo/stmk Posts: 3277	06.07.2021 - 13:10 wenn wir alles andre außen vor lassen - jo die "Firmen Y's" könnten den "absender Firma X" in deren SPF inkludieren (zb. ipv4 oder include).
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3659	06.07.2021 - 13:21 Die korrekteste Vorgehensweise wäre, über den Mailserver vom Kunden zu verschicken, rein imho natürlich. D.h. vom Kunden eine Mailbox anfordern, wir geben unseren Dienstleistern teilweise welche.
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6293	06.07.2021 - 13:46 Man könnte ja einen fiktiven Testkunden anlegen und mit dem experimentieren, bevor es an die echten Kunden geht, mit easydmarc.com und mxtoolbox.com solltest du schon relativ weit kommen. Dennoch würde ich auch empfehlen, einen Mailexperten an der Hand zu haben, der das schonmal eingerichtet hat, idealerweise mit der gleichen Mailserver Software mit der das dann produktiv gehen soll. Denn die Unterschiede bei Featuresets und Konfigurationen von Mailservern sind gewaltig. Ich bin froh, dass das nicht mein täglich Brot ist Bearbeitet von mr.nice. am 06.07.2021, 13:50
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19578	06.07.2021 - 14:04 Dass es komplex ist ist mir schon klar. Ich bin auch nicht der Admin der bei irgendwelchen Kunden da irgendwas wartet oder einrichtet. Ich möchte nur verstehen wie es genau funktioniert. Hintergrund ist das wir eine Software ausliefern die auch Mails sendet, ist natürlich historisch gewachsen und hat (noch) keinen Support für DKIM (oder SPF oder DMARC). Ich nenne unseren Kunden jetzt einfach mal "KUNDE" und den Kunden den der serviciert "COMPANY" Der KUNDE bekommt jetzt allerdings Mails abgelehnt weil COMPANY jetzt DKIM Checks durchführt (lt. eigener Aussage). Unsere Software macht allerdings selbst keine SPF checks noch schreibt die irgendeinen DKIM Header in die Mail. Es ist derzeit so dass KUNDE in gewissen Fällen mit quasi fremden SMTP Adressen (COMPANY1) schickt. Ich gehe jetzt mal im schlimmsten Fall davon aus das sowohl die Envelope als auch die MIME From: Header Adresse vom servicierten Kunden ist (genau kann ich es noch nicht sagen weil ich noch kein Trace/Log mit der Info bekommen habe) - aber das wäre Einstellbar je nachdem wie KUNDE es haben will. Ein SPF Check hätte in dem Fall allerdings nichts mit unserer Software zu tun soweit ich das verstehe - das ist rein eine Sache von COMPANY und deren DNS Server? Wie funktioniert in so einem Workflow DKIM? Der Outbound Mailserver schreibt einen DKIM Header signed mit einem private key auf unserer (KUNDE) Seite afaik. Aber wo wird dass dann geprüft, auch am DNS Server der Domain der Envelope (oder MIME Header From Adresse (sprich nicht vom eigentlichen Ursprung)? Zitat aus einem Post von nexus_VI Die korrekteste Vorgehensweise wäre, über den Mailserver vom Kunden zu verschicken, rein imho natürlich. D.h. vom Kunden eine Mailbox anfordern, wir geben unseren Dienstleistern teilweise welche. Das war mein erster Vorschlag an unseren Kunden, dann gibt es nämlich keine Troubles wegen irgendwelchen komischen Konstellationen. P.S.: Vergaß zu fragen: Was passiert üblicherweise wenn Mails ohne DKIM Header reinkommen (sprich Sender der DKIM nicht kann). Die können ja nicht ernsthaft als "böse" angesehen werden - oder etwa doch? Bearbeitet von daisho am 06.07.2021, 14:06
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3659	06.07.2021 - 14:06 Ja, am DNS Server gibt es entsprechend auch einen DKIM Eintrag. Eure Software muss dafür nix besonderes können, kann aber schon in hohem Verwaltungsaufwand resultieren.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48837	06.07.2021 - 14:58 Wenn es keinen dkim DNS Eintrag gibt und auch kein Header gesetzt wird passiert nicht viel (evtl wird ein Spamscore minimal erhöht) gibt's aber einen DKIM Eintrag und im Header passt der nicht dann musst froh sein wenn die Mail nicht komplett abgelehnt wird. Ich würde in dem Fall über einen Smart Host verschicken (im Grunde ein relay der sich auch um die security kümmert)
Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11812	06.07.2021 - 15:52 Ich versuch das mal kurz zusammenzufassen: - Sowohl SPF als auch DKIM dienen dazu, einem empfangenden MTA zu ermöglichen, die Vertrauenswürdigkeit einer empfangenen Mail zu verifizieren. - Ob, und was der empfangende MTA dann mit der Information macht oder nicht macht, kann man nicht direkt beeinflussen. Man kann aber via DMARC Record im DNS von <senderdomain> Empfehlungen zur Behandlung bekannt geben. - Über den SPF Record gibst du an, welche Server vertrauenswürdige Sender für <senderdomain> sind. Das kann auch ein Relay eines Dritten sein. Man kann auch SPF Records einer anderen Domain (z.B. des Relay-Betreibers) in seinen eingene includen. - Bei DKIM signiert ein ausgehender Server Mailheader und Body und fügt die DKIM-Signature in den Header ein. Die beinhaltet die Hashes und notwendigen Informationen, die der Empfänger braucht, um die Signaturen zu verifizieren. Das Signieren kann auch ein Relay eines Dritten übernehmen. Es muss entsprechend einen DNS-Eintrag geben, der den passenden Public Key enthält.
eitschpi alpakaflüsterer Registered: Dec 2004 Location: eierbärhausen Posts: 4363	19.06.2023 - 18:48 Ich hab das Problem, dass meine Mails z.B. von Gmail abgelehnt werden. Das kommt in der Antwort: https://support.google.com/mail/ans...#authentication Bei meiner Domain kann ich nur die Nameserver setzen, mein Webspace liegt bei einem Freund. Da hab ich nur Zugriff auf diese Parallels-Oberfläche und kann an den Nameservern nichts ändern. Die Records müssten dann bei den Nameservern von meinem Freund gesetzt werden. Stimmt das so? /edit: Und wenn ich z.B. zu Hetzner wechsel wird das wohl schon eingestellt sein? Bearbeitet von eitschpi am 19.06.2023, 18:56
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	19.06.2023 - 20:00 die nameserver sollst eh nicht ändern aber du musst eben zumindest einen SPF record setzen (lassen) dazu musst jetzt nicht unbedingt die domain umziehen wenn das dein freund für dich mit seinem zugang erledigen kann edit: nein, im normalfall wird dir kein hoster "automatisch" einen SPF Entry setzen weil damit mehr kaputt gemacht werden kann als geholfen
eitschpi alpakaflüsterer Registered: Dec 2004 Location: eierbärhausen Posts: 4363	19.06.2023 - 20:09 Der meldet sich seit einer Weile nicht zurück, keine Ahnung warum. Aber es gibt ja keine Alternative, außer keine Mails mehr an Gmail-Adressen zu schicken?
DAO Si vis pacem, para bellum Registered: Mar 2001 Location: Austria Posts: 4907	19.06.2023 - 20:22 zieh dein zeugs zu nem anbieter um wo du die dns records selbst verwalten kannst und richte dir die einträge im dns ein. bzw hol dir dann jemand ders für dich einrichtet.
eitschpi alpakaflüsterer Registered: Dec 2004 Location: eierbärhausen Posts: 4363	19.06.2023 - 20:33 Na das krieg ich dann wahrscheinlich eh hin, wollte nur sichergehen, dass es nicht irgendwas beim Domainanbieter ist. Danke!

SPF/DKIM/DMARC

Forum Index > Digital Life > Internet & Provider

daisho

COLOSSUS

Viper780

tialk

nexus_VI

mr.nice.

daisho

nexus_VI

Viper780

Redphex

eitschpi

userohnenamen

eitschpi

DAO

eitschpi