Willkommen im User-Forum von mailbox.org
 

Eigene Domain: DKIM mit CNAME statt TXT

Stephan hat dies geteilt, 12 Tage her
erledigt

Das hier ist keine klassische Frage, sondern eher ein Hinweis für die Nutzer, die ihre eigene Domain bei mailbox.org nutzen und DKIM in ihre DNS-Konfiguration eingetragen haben.

Wie mir jetzt im Changelog der Wissensdatenbank aufgefallen ist, wird die Methode über den TXT-Record nicht mehr länger empfohlen, da bei einer Änderung der Schlüssel manuelle Anpassungen an allen DNS-Einträgen notwendig werden.

Mehr Infos im Artikel Spam-Reputation der eigenen Domain verbessern mit SPF, DKIM und DMARC. Einen entsprechenden Hinweis auf die Hintergründe gibt es auch im Artikel DKIM-Eintraege ueber TXT-Felder im DNS setzen.

Kommentare (3)

Foto
2

Ist das ein Fehler, dass "MBO0003._domainkey.example.com" und "MBO0004._domainkey.example.com" auf "MBO0001._domainkey.mailbox.org." bzw. "MBO0002._domainkey.mailbox.org." verweisen sollen?

Foto
1

Der Frage schließe ich mich an.

Foto
1

Ist wohl ein Fehler.

Foto
1

Ja, scheint so. Wenn man sich die Einträge für mailbox.org ansieht, so sind dort 1+2 mit RSA und 3+4 mit Ed25519 hinterlegt.

Foto
2

Ich habe mal ein Ticket erstellt.

Foto
2

Vielen Dank für die Hinweise. Da hat sich in der Tat der Fehlerteufel eingeschlichen.

Die Anleitung wurde entsprechend angepasst. Wie die meisten hier vermutet haben, müsen vier einzelne CNAME Einträge angelegt werden.

Hier nochmal deren Inhalt:

MBO0001._domainkey.example.com IN CNAME MBO0001._domainkey.mailbox.org.

MBO0002._domainkey.example.com IN CNAME MBO0002._domainkey.mailbox.org.

MBO0003._domainkey.example.com IN CNAME MBO0003._domainkey.mailbox.org.

MBO0004._domainkey.example.com IN CNAME MBO0004._domainkey.mailbox.org.

Foto
Foto
1

Wie ist das mit den „alternativen Absendern“? Kann man damit eine andere Domain „ausbessern"?

Das "My Email Communications Security Assessment“ https://mecsa.jrc.ec.europa.eu zeigt extreme Mängel bei meinem Internet Provider.

Foto
1

Danke für den Link. Habe jetzt ein bisschen gebastelt und MTA-STS sowie DMARC eingerichtet. Zusätzlich mit dem Modifier "~all" für SPF bekomme ich jetzt überall einen grünen Haken, nur nicht bei DNSSEC, was von Hetzner nicht unterstützt wird.

Foto
1

@ 4030395M:

Bei Senden über alternative Absender, wie es hier beschrieben ist, wird ein externes Postfach, etwa von web.de, bei uns eingebunden. Nach Verifizierung können Sie auch über uns versenden. Hier ist es technisch nicht möglich, eine gute Spamreputation zu erlangen, weil diese Nachricht über unsere Server verschickt wird. Auf der Empfängerseite ist dann die Diskrepanz web.de Adresse vs. mailbox.org Server sichtbar und wird entsprechend bewertet.

Diese Art des Versandes kann heutzutage nur noch eingeschränkt empfohlen werden.


Sollten Sie eine eigene Domain verwenden, nutzen Sie bitte die oben verlinkte Anleitung.

Foto
1

Danke für die Antwort!

Das habe ich befürchtet. Die Domain habe ich bisher noch nicht hier, wegen der Aliase. Der Provider erlaubt 1000 Aliase und hier gehen nur 50/250. Da will ich abwarten, wie viele ich brauche. Catch-All wäre vielleicht eine Alternative. Vielleicht könnt ihr auch mal die Grenze erhöhen. Das dürfte doch keine zusätzlichen Kosten verursachen.

Bei Spamgourmet bin ich schon bei fast 1000 verbrauchten Aliasen. Den Service kann ich also nicht ersetzen.

Aktuell habe ich auch ein paar Subdomains. Die müsste ich dann vielleicht löschen. Bleiben Subdomains eigentlich unabhängig oder gilt für die der Mailsserver der Hauptdomaine? Ich muss mal meine DNS Kenntnisse aktualisieren.

Foto
1

Für DNS sind Subdomains kein Problem. Die kann man alle auf den gleichen Mailserver zeigen lassen. In den Supporttexten von Mailbox kann ich dazu nichts finden. Hat wohl noch niemand vorher gefragt. 😉

Foto
1

Subdomains benötigen eigene MX, DKIM und SPF Records. @4030395M: In deinem konkreten Fall kannst du die alternativen Absender doch ohne Probleme nutzen, da du die DNS-Records der Domain setzen kannst. (Also nur bei SPF und DKIM auch mailbox.org zusätzlich erlauben, MX kannst du bei deinem anderen Provider lassen)

Foto
1

Danke! Das muss ich mal testen.

Foto
Foto
1

@Stefan


Erst einmal vielen Dank für deinen "Hinweis" zur Änderung bezüglich DKIM! Ich glaube, dass hätte ich sonst nicht mitgeschnitten.

Habe jetzt ein bisschen gebastelt und MTA-STS [...] eingerichtet.
(-> https://userforum.mailbox.org/topic/6006-eigene-domain-dkim-mit-cname-statt-txt#comment-26378)


Darf ich dich fragen, wie du das bewerkstelligt hast? Nur grob eins, zwei Sätze. Möchte auch da abchecken, ob ich auf dem aktuellen Stand bin und die Kombi mailbox.org/eigene-Domain/MTA-STS immer noch eine ist, die aufgrund der technischen Gegebenheiten von MTA-STS etwas mehr Aufwand benötigt. Merci schon einmal!

Foto
1

Ich weiß zwar nicht, wer dieser Stefan ist, antworte aber trotzdem mal. 😁

Für MTA-STS brauchst Du eine entsprechende Subdomain mit Webspace, der mit TLS abgesichert ist. Zusätzlich sind ein paar DNS-Einträge notwendig. Schön erklärt wird das in diesem Artikel.

Foto
1

Dann ist mein Wissen aktuell. Vielen Dank, Stephan! 😉 😊

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen