Eigene Domain nach Wiki eingerichtet - wirklich sicher so?

Hallo Dom,

ich habe meine persönliche Domain bei Namecheap registriert (bei netcup bin ich auch, aber nur für mein Webhosting - Emails nutze ich mit netcup nicht). Habe also die Kombi Namecheap = Domain, mailbox.org = E-Mail mit persönlicher Domain. Habe meine Domain bei Namecheap exakt nach der mailbox.org Anleitung mit allen Sachen konfiguriert (SPF, CNAME, DMARC, usw.) und komme mit dem Tool auf 5 Sterne überall:

Evtl. fehlt da also bei Dir noch irgendwas … fande die mailbox.org Anleitung eigentlich auch soweit gut und ausführlich erklärt für alle Punkte der Einrichtung. Am besten nacheinander abklappern: SPF einrichten, dann Testen. Wenn grün, dann nächster Punkt. DMARC einrichten, dann Testen. Wenn grün … usw. So habe ich es damals gemacht.

Hey :)
danke für dein Input.
Aktuell schaut es bei mir so aus:

Ich habe bei SPF das ~all auf -all gesetzt und bei dmarc das p=none auf p=reject, zudem habe ich da DNSSEC aktiviert.
Damit konnte ich schon einmal überall in den grünen Bereich kommen, ich weis nur nicht wo ich noch weiter was ändern kann, verwundern tut mich da DNSSEC weiterhin mit 0 Punkten bewertet ist, aber im Netcup Wiki stand das es bis zu 48h dauern kann bis das global ausgespielt ist, daher warte ich dan noch 1-2 Tage ab.

Hier mal meine DNS Einstellungen:

Ich arbeite mit den Wiki Artikeln hier und denke das ich davon alles umgesetzt habe, mir fehlt aktuell leider ein weitere Ansatzpunkt :( :

https://kb.mailbox.org/de/privat/e-mail-mit-eigener-domain/e-mail-adressen-mit-eigener-domain-nutzen/

https://kb.mailbox.org/de/privat/e-mail-mit-eigener-domain/spf-dkim-und-dmarc-spam-reputation-verbessern-und-bounces-vermeiden/

Mailbox.org erklärt meines Wissens leider nicht, wie man DNSSEC und MTA-STS aktiviert. Allerdings hat das auch einen gewissen Grund, da beides nur beim Domain-Anbieter bzw. Webhosting-Anbieter aktiviert werden kann. Für DNSSEC muss der Domain-Anbieter die DNS-Daten mit einem Schlüssel signieren, und für MTA-STS benötigt man einen Eintrag im DNS sowie eine Textdatei, welche man im Webhosting der eigenen Domain hinterlegen muss. Mit beidem hat mailbox.org nix zu tun. MTA-STS wird übrigens bei wikipedia beschrieben.

Letztlich ist es gefährlich, Testseiten im Internet zu verwenden, wenn man die Dinge nicht technisch durchdrungen hat. Viele Anbieter machen Quatsch, und es leuchtet rot statt grün obwohl alles in Ordnung sind. Hintergrund können technische Probleme sein, oder auch die Einstellung der Testseite und des dahinterstehenden Unternehmens, doch bitte deren Infrastruktur zu verwenden. Bei DNSSEC gebe ich zu bedenken, dass das stabil laufen muss, ansonsten ist der Mailempfang futsch. Ich habe schon selber bei einigen Providern Probleme gehabt, und man liest im Netz auch manchmal von Problemen. Bei MTA-STS gibt es dann Probleme, wenn die Richtlinie beim Absender gespeichert ist (bei privaten Domains eher unwahrscheinlich aber möglich) und das Webhosting aus welchen Gründen auch immer down ist. Dann könnte der Absender ein Versenden verweigern, weil die Richtlinie unerwartet futsch ist, und du bekommst keine Mails. Die Wahrscheinlichkeit dass DNSSEC mal zerbricht, oder dass das Webhosting mal ausfällt halte ich aus subjektiver eigener Erfahrung als bedeutend größer, als dass die "normalen" DNS-Einträge (spf, dmarc, dkim) kaputt gehen. Aus diesem Grund empfehle ich für die Einrichtung von DNSSEC und MTA-STS dass man das anfangs recht regelmäßig und dann vielleicht nur noch sporadisch prüft und vor allem versteht was man macht. DNSSEC und MTA-STS halte ich aktuell für nicht notwendig, und es wird auch nur dann relevant, wenn man die eigene Domain verwendet. Trotzdem sind DNSSEC und MTA-STS natürlich grundsätzliche Sicherheitsfeatures, die allerdings meines Wissens nur vor sehr spezifischen und individuellen Angriffen schützen ... und daher wie gesagt nicht unbedingt notwendig sind. Die von mailbox.org beschrieben Einrichtung von spf, dmarc und dkim ist im Unterschied dazu wirklich zwingend notwendig, damit die eigene Mail beim Empfänger ankommt, und nicht als Spam behandelt wird.

Moin und danke für deine Einschätzung und die Aufklärung!
Das mit MTS-STS hatte ich auch schon entdeckt und mir daher gespart.
DNSSEC habe ich dann auch erstmal vorläufig wieder deaktiviert, da lese ich dann erst einmal weiter rein, deine Kritikpunkte dazu klingen nicht so gut.

SPF, DKIM und DMARC sind bei mir ja korrekt eingerichtet, daher würde ich erstmal sagen passt so.
Komme zwar aus der IT aber mit dem Mailzeug hatte ich bisher noch nie was zu tun.

Daher hatten mich die Tests jetzt verunsichert und habe nachgefragt ;)

Ich bin seit vielen Jahren bei inwx mit meinen Domains, und da funktioniert DNSSEC ohne jegliche Probleme. Also grundsätzlich ist das wohl ein gutes Feature, und je nach Domainanbieter brauchts auch nur einen Klick um es zu aktivieren. Wenn ich das richtig sehe ist DNSSEC ein Schutz von MITM-Angriffen.

Alle (oder fast alle?) großen Banken und Versicherungen bei uns verwenden kein DNSSEC. Daher scheint die Sicherheitsrelevanz nicht so wahnsinnig groß zu sein. Aber einige Hochschulen und Forschungseinrichtungen verwenden DNSSEC. Also es ist auch kein Produkt was ausschließlich einige wenige paranoide Einzelpersonen verwenden.

Hey :)
danke für die Rückmeldung!
DNSSEC wurde gestern aktiviert, laut Netcup Wiki kann das aber bis zu 48h dauern, daher warte ich da noch ab.

Fällt dir sonst ein Fehler in meinen DNS Einstellungen auf?

Ich poste hier noch mal meine DNS Settings - vielleicht hilft es ja noch. DNSSEC ist bei mir im Domainmanagement des Registrars tatsächlich ein eigener Schalter:

Hat sich dein Problem mit DKIM gelöst?

Ich bin von IONOS zu Netcup gewechselt und ging eigentlich die ganze Zeit davon aus, dass DKIM bei mir funktioniert. Nach der Einrichtung bei Netcup habe ich mal genauer meine Mails angeschaut und habe festgestellt, dass meine Ausgangsmails, auch vorher bei IONOS, nicht signiert wurden (Kein DKIM im Quelltext der Mail). Die entsprechenden Testmails waren ebenfalls negativ bezüglich DKIM.

Entsprechende Tests mit nslookup (wie im Wiki) oder mxtoolbox sind erfolgreich.

Ich habe mal eine Mail an den Support geschrieben. Meine Frau hat mit den gleichen Einstellungen wie ich sie hatte (aktuell noch bei IONOS) eine DKIM Signatur.

Eine Sache die mir direkt aufgefallen ist bei deinen Einstellungen, bei den CNAME Einträgen hast du den . am Ende von mailbox.org vergessen, der war bei mir zwingend erforderlich (stand glaube ich auch im Wiki so?)
Hast du bei deiner Frau dran gedacht und bei dir vergessen?

Bei Netcup sind diese lt. Wiki und FAQ bei Netcup nicht notwendig.

s. SPF, DKIM und DMARC - Spam-Reputation verbessern und Bounces vermeiden | Knowledge Base

Macht aber tatsächlich keinen Unterschied, hatte beides ausprobiert.

mhm ok, ich meine ich brauchte die wirklich explizit, hatte mich einige nerven gekostet bis ich gemerkt hatte das nur der . am Ende fehlt :D aber vllt. war das auch bei am Ende nur Zufall, du hast es ja ausprobiert und bei dir half es nichts.

Mein DKIm scheint problemlos zu laufen und bekomme da auch die 100/100 Punkte mit der hier geposteten Check Website, mit welcher Webseite hast du das bei dir im zweiten Bild geprüft, dann amche ich das auch nochmal.
Bin aber ja auch offentsichtlich kein Experte in dem Thema :D vllt. kann einer der anderen hier dir eher helfen ;)

Das ist Network Tools: DNS,IP,Email.

Du kannst aber einfach auf eine gesendete Mail von dir im Webmailer und mit Rechtsklick den Quelltext anzeigen lassen. Im Header sollte dann etwas mit DKIM sein.

Mich verwundert es, dass ich bei den Mails aus IONOS Zeiten ebenfalls keine DKIM Signatur habe und hier waren die DNS Einstellungen wirklich 1:1 denen meiner Frau und wie im Wiki (auch mit Punkt am Ende).

Da es bei Netcup weiterhin nicht funktioniert, vermute ich einen Fehler auf Seite von Mailbox. Mal schauen was der Support meint.

... ich bin gerade etwas baff: ich habe mal aus Spass meine Domain bei einem DKIM Checker eingetragen und war eigentlich davon ausgegangen, dass alles top ist, weil meine Config beim Registrar genau wie im mailbox.org Wiki beschrieben umgesetzt ist:

Wie kann das sein, dass o.g. Checker dann folgendes ausgibt (die MX Records Info für mailbox.org ignoriere ich einfach mal):

... trotzdem steht im Quelltext einer gesendeten Testmail aber:DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=MEINEDOMAIN.COM;

s=MBO0001; t=1750860540;

h=from:from:reply-to:subject:subject:date:date:message-id:message-id:

to:to:cc:mime-version:mime-version:content-type:content-type;

bh=ThMbdlXuVf7fBn9XmZVo951nc04VvQzdqC6qwgnafX4=;

b=waJpx7n0+deVwVN1Wndazsm9SLWgirEHi3TmZzRYbcHHVMJOQ+/vncBdmmzSFeXKgWyeyP

AxYbLWyqbI5ptRpCxrSEBay635WooIqtMonk7gtwNrZ+phX+CNGv0Fz9dtzyTQCFmD2Rxj

Il43/VRI2lhZwWLy0rncAecWouBoKo1UQBu6zLYjTINQ6DWGG4hxCVGW/vPz1yEPY605pW

SEZCxtpiLkDcof6tvOtjDPbPFMkuhFNvhPruhleJmgxG3ThDoHDx4Y151FCeKhp8S0Nw7M

Xp2Aegqlj4grwo5wWTLpTtXByXHeknyDtw7BHhYzvdZPNi5wayIISTibn5yC6Q==

Ist das Checkertool vielleicht einfach Mist??

Schau mal bitte im Webmail, ob bei dir im Quelltext (Header) einer gesendeten Mail der DKIM Key vorhanden ist. Ggf. ist der Test hier nicht valide.

@Fabian:

Der Test bei https://origix.io den du oben im Bild hast, der ist Mist und reine Werbung. Eine dkim-Signatur kann nicht geprüft werden, wenn man auf einer Testseite nur die Mailadresse oder nur die Domain ein gibt. Für das Testen der DKIM-Signatur muss zwingend eine Mail an die Testseite geschickt werden. Anders kann man die DKIM-Signatur nicht prüfen. Alle Checker, an die keine Mail geschickt wird, sind nicht seriös!

Ich selbst habe seit Jahren dkim aktiviert, und es wird bei allen gängigen seriösen Testeiten auch korrekt erkannt und daher von mailbox.org auch korrekt verarbeitet. Die Hilfeseiten zur eigenen Domain sind auch korrekt. Ich empfehle den MECSA-Test unter https://mecsa.jrc.ec.europa.eu/de/ wie oben ihn auch der Nutzer "Dom" gepostet hat. Der ist m.E. seriös. Dort sollte alles grün sein (Starttls, spf, dkim, dmarc, dane) bis auf DNSSEC und MTA-STS was rot sein darf. Das grün bei spf, dkim und dmarc ist zwingend notwendig, um beim Empfänger nicht als Spam eingestuft zu werden.

Nachtrag: Weitere Testseiten die bei mir immer gut funktioniert haben sind:

https://dkimvalidator.com/

https://www.learndmarc.com/

Erstere Testseite ist übrigens nicht grün und rot, sondern man muss lesen können ;-)

Danke Euch! OK, der origix Checker ist dann wahrscheinlich einfach Schrott - ich habe es jetzt noch mal mit dkimvalidator.com geprüft: die DKIM Signatur ist defintiv im Mailheader drin. Ist etwas verwirrend, da es unzählige solcher Checker Tools gibt und nicht alle anscheinend verlässlich sind... Danke für die Klärung.

Auch von mir ein Danke :)
Viele wertvolle Infos und Links aufgeschnappt und ein besseres Verstädnis entwickelt!

Mein Problem hat sich auch erledigt, die DKIM Signatur funktioniert jetzt. Vermutlich habe ich der DNS Änderung einfach nicht genug Zeit gegeben.