Willkommen im User-Forum von mailbox.org
 

CNAME-Ziel für DKIM-Keys

Sebastian K. hat dies geteilt, 19 Monaten her
erledigt

Hallo,

unter https://kb.mailbox.org/display/BMBOKB/E-Mail-Adressen+der+eigenen+Domain+nutzen wird ja beschrieben, wie man den DKIM für eine eigene Domain hinterlegt, funktioniert insgesamt auch gut. Bei manchen (schlechten) DNS-Providern gibt es jedoch das Problem, dass der Key von denen als "zu lang" angesehen wird und man dann selbst schauen muss, wie man den auf mehrere Records aufsplittet (und selbst das wird teilweise nicht erlaubt).

Es wäre daher schon, wenn man die beiden DKIM-DNS-Records auch einfach über einen CNAME-Eintrag konfigurieren könnte, so machen das viele andere E-Mail-Provider (z.B. Office 365) auch. Das einzige, was mailbox.org dafür machen müsste, ist zwei langfristig stabile offizielle DNS-Records anzubieten, die genau diesem Key enthalten. Als Benutzer konfiguriert man dann z.B. einfach:

  • MBO0001._domainkey.example.com CNAME auf key1._domainkey.mailbox.org
  • MBO0002._domainkey.example.com CNAME auf key2._domainkey.mailbox.org

Der langfristige Vorteil für mailbox.org wäre dann übrigens die Möglichkeit, den Key auch mal austauschen zu können, ohne dass jeder einzelne Kunde die DNS-Records anfassen muss.

Sebastian

Beste Antwort
Foto

Hiermit können wir bestätigen, dass wir die Records stabil halten werden.

Wir haben ausserdem die DKIM-Schlüssel MBO003 und MBO004 hinzugefügt, welche Ed25519-basiert sind, hinzugefügt.

Ein KB Artikel ist in Arbeit.


Vielen Dank für den Input an dieser Stelle!

Kommentare (6)

Foto
5

Ganz hervorragende Idee, darauf sind wir bislang schlichtweg nicht bekommen und haben auch nicht mitbekommen, daß das jemand bereits so macht. Ich gebe das umgehend an's Admin-Team weiter! Vielen Dank!

Foto
1

Hallo, und, tut sich was in dieser Sache?

Foto
1

Gibt es hier etwas neues?

Foto
Foto
1

Gute Idee und super, dass so schnell eine Umsetzung geplant ist!

Könnten wir hier oder an anderer prominenter Stelle ein Update bekommen, wenn der Prozess abgeschlossen ist? Herzlichen Dank!

Foto
1

Ja, mein Provider macht diese Zicken. Ich fände eine Info, wenn das umgesetzt ist, auch klasse.

Foto
3

Wenn das umgesetzt würde, könnte man die DKIM Keys öfter rotieren und die alten privaten Keys veröffentlichen:

https://blog.cryptographyengineering.com/2020/11/16/ok-google-please-publish-your-dkim-secret-keys/

Foto
2

Guten Morgen Zusammen,

ein anderer Foren-Eintrag hat mich auch wieder an diese Sache erinnern lassen.


Gibt es hier eigentlich einen aktuellen Stand, ob das nun umgesetzt wird, oder ist das wieder verworfen?

Foto
1

Für alle, die aktuell akut einen Workaround brauchen, lässt sich das bereits heute bewerkstelligen, indem einfach die aktuell in der Zone von mailbox.org referenzierten Domain-Keys als CNAME referenziert werden.

Das sieht dann so aus:

  • MBO0001._domainkey IN CNAME MBO0001._domainkey.mailbox.org.
  • MBO0002._domainkey IN CNAME MBO0002._domainkey.mailbox.org.

Solange von mailbox.org aber kein offizielles Statement kommt dass diese Records langfristig stabil sind, können wir uns nicht darauf verlassen dass das langfristig so funktioniert.

Foto
1

100% verlassen kann man sich natürlich nicht, aber schon ziemlich.

Die o.g. Domains ändern sich ja nur, wenn sich der Selektor (mbo0001/mbo0002) ändert. Wenn das passiert, müssen vermutlich die DKIM-Schlüssel eigener Domains so oder so angepasst werden.

Foto
3

Hiermit können wir bestätigen, dass wir die Records stabil halten werden.

Wir haben ausserdem die DKIM-Schlüssel MBO003 und MBO004 hinzugefügt, welche Ed25519-basiert sind, hinzugefügt.

Ein KB Artikel ist in Arbeit.


Vielen Dank für den Input an dieser Stelle!

Foto
2

@support:

Wenn ihr den KB-Artikel zur eigenen Domain eh ändert, dann hätte ich da noch einige Fragen bzw. Anregungen:

- Der Nolisting-Eintrag bei den MX-Servern (mx-n.mailbox.org): Macht der Sinn, ist der erwünscht, verbessert das den Spam-schutz? Da steht nix in der KB drüber, bei mailbox.org ist der Eintrag aber vorhanden. Meines Erachtens nicht notwendig, da es ja ohnehin Greylisting gibt. Hat der Entrag eher einen Honeypot-Charakter?

- Bei den DKIM-keys: Was ist sinnvoller, die Lösung über CNAME oder den Key im eigenen DNS hinterlegen? Cname würde dann Sinn machen, wenn ihr irgendwann vor habt, die Keys zu tauschen, und den Selektor aber gleich lassen wollt. Und sollen alles Dkim-Keys hinterlegt werden (MBO0001-MBO0004) oder zwecks Sicherheit nur 3 und 4 oder zwecks Kompatibilität nur 1 und 2?

- Bei dem Absatz zu Dmarc in der KB wird p=none empfohlen. Mailbox.org verwendet aber p=reject. Was ist für die eigene Domain empfehlenswert? Eigentlich sollte p=reject ja problemlos funktionieren, wenn alles korrekt konfiguriert ist.

- Eher kosmetisch: Ich verwende bei spf redirect=mailbox.org, da beim spf-REcord ja komplett auf mailbox.org verwiesen werden soll. Redirect finde ich also logischer. Macht hier include doch mehr Sinn, habe ich also einen Denkfehler?

- und last but not least: Ob bei einem privat und damit nur in geringem Umfang genutztem Postfach MTA-STS was bringt, da habe ich Netzt gegenteilige Auffassungen gelesen. Was ist die Ansicht von mailbox.org zu dem Thema? Eveventuell könnte man auch in der KB einen Verweis aufs Forum machen, wo die Einrichtung von MTA-STS beschrieben wird.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen