Willkommen im User-Forum von mailbox.org
 

DKIM-Schlüssel hinterlegen/unterstützen bei eigenen Domains

Conrad K. hat dies geteilt, 3 Jahren her
erledigt

Hallo Zusammen,

es würde mich freuen, wenn es irgendwann die Option gibt, dass man bei Einsatz eigener Domains und hinterlegten DKIM-Schlüssel im DNS diese auch bei Mailbox.org hinterlegt und genutzt werden können für Versand und Empfang.


Viele Grüße

Conrad

Kommentare (103)

Foto
5

Hallo Conrad,


danke für das Feedback!


Ja, DKIM für eigene Domains steht auch nach wie vor auf unserer Wunschliste (https://support.mailbox.org/knowledge-base/article/spf-und-dkim-fuer-eine-eigene-domain-setzen). Momentan können wir leider noch nicht versprechen, wie lange es noch dauern wird, bis wir dafür die Kapazitäten haben.


Viele Grüße!

Foto
1

Hi!

Gibt es Neuigkeiten dazu? Erinnert irgendwie an das Thema "eigene Yubikeys". :-(

Unter https://support.mailbox.org/knowledge-base/article/e-mail-adressen-der-eigenen-domain-nutzen ist folgendes zu lesen:

"Um DKIM für Ihre bei uns gehostete Domain zu aktivieren, müssen wir Ihre DKIM-Schlüssel auf unseren Systemen einspielen. Dies ist ein aufwändiger manueller Prozess, den wir derzeit für Privatkunden leider nicht leisten können."

Also wieder eigener Mailserver!?

Cheers!

Foto
6

Wir haben dermaßen viel zu tun und dieses Feature bringt verglichen mit anderen Sachen zu wenig Vorteile, daß wir das für die nächsten 12 Monate nicht auf der Roadmap haben.


Wer das aber nett in ein Support-Ticket verpackt bekommt das auch gerne manuell eingespielt. Aber ein Userinterface ist derzeit zu viel Aufwand.

Foto
1

Hallo,

auch ich würde mich freuen, wenn man DKIM direkt per Userinterface einrichten könnte.

Ich freue mich aber besonders, dass das im Einzelfall auch manuell geht.

Dazu habe ich letzte Woche einen DKIM-Schlüssel an den Support übermittelt und würde mich freuen, wenn das Einspielen auf dem Mailserver klappt. Der zugehörige public key ist jedenfalls im DNS schon hinterlegt.

Foto
10

Wäre es nicht am einfachsten, wenn der DKIM Schlüssel für eigene Domains von mailbox.org selbst erzeugt und verwaltet wird? Dann müsste nur der DNS Record angezeigt werden, den man setzen muss. Das könnte im selben Schritt machen, in dem auch der Record für die Domainvalidierung gesetzt wird, dann ist es kaum Mehraufwand für die Benutzer.


Das fände ich bedeutend einfacher als selbst einen Schlüssel erzeugen zu müssen. Und für mailbox.org wäre es vermutlich auch einfacher. Ihr könntet sogar einfach euren Standardschlüssel verwenden.

Foto
1

That's how most e-mail providers operate.


+1 on DKIM request. Seems to be essential and rudimentary defence against email spoofing and phishing attempts.

Foto
1

+1 !!!!!

Foto
Foto
1

+1 für diesen guten Vorschlag!

Foto
1

Das wäre tatsächlich super!

Foto
1

Wie sieht es denn aktuell aus? Es wäre schön, wenn DKIM (wieder) zur Verfügung stehen würde.

Foto
1

Schließe mich an.

Foto
1

1-Click-DKIM-Support hätte seinen Platz auf der Roadmap (https://mailbox.org/work-in-progress/) verdient.

Foto
1

Die Seite ist eh für'n A....! Mailtrace (Vapourware?) fehlt auch... und "Individuell konfigurierbarer Spamschutz" wurde auf Q2 verlegt... Ende Juni steht es wahrscheinlich unter Q3. Wau, dieser Thread ist schon ein Jahr alt. Mailbox.org weiß wohl besser was wir User brauchen... bin eh bald weg.

Foto
1

@zapata: Darf ich fragen wohin du flüchtest?

Foto
1

Ich habe die letzte Woche und auch diese Woche gestern und heute alle notwendigen Voraussetzungen für den User-Spamschutzfilter geschaffen. Es gibt noch einen Bug (Ordnernamen mit "/" im Pfad werden falsch codiert) weswegen es auch nicht für Beta-Nutzer benutzbar ist. Das fixen wir morgen (aber vor einem Wochenende gibt es kein Rollout). Außerdem müssen wir noch die Doku/FAQ dazu schreiben, was vermutlich erst nach dem Wochenende passieren kann.


Heute Abend auf dem Heimweg hatte ich eine gute Idee für ein weitergehendes Spamschutzmodul. Aber ich habe gerade keinen Einblick in die Entwicklerkapazitäten, ob das vor Ostern was werden könnte. Aber wenn das klappt (das muß ich nochmal durchdenken) könnte ich ein 5 Jahre altes Problem lösen. Ich muß mir da mal tiefer Gedanken machen, ob das einen Haken hat.


Mailtrace läuft derzeit auf der Testmaschine und die Entwickler entwickeln darauf.Vor zwei Wochen gab's ein Update auf eine Alpha-Version.


Verschiedene Aktivitäten rund um die 7.8.3 und der Aufbau des neuen Kundensupport-Portals haben im Q1 dafür gesorgt, daß wir Projekte geschoben haben und die Entwickler anders eingesetzt haben. Wir versprechen uns von dem neuen Kundenticketsystem sehr viel bessere Userselbsthilfe und effizientiere Hilfe durch uns. Das war uns auch wichtig und ist ebenso vielfacher Kundenwunsch.

Foto
1

Hallo Peer.


Danke für das zuverlässige Service.


Ich bin gerade dabei von zoho mail zu euch zu wechseln und da wäre dieses dkim feature sehr schön zu haben.


LG Aleks

Foto
1

Dream on. Vielleicht spielt dir der Support das aber manuell ein.

Foto
1

Well das hat super funktioniert mit dem support ;-)


1.) Key erstellen http://dkimcore.org/tools/

2.) DNS Eintrag erstellen

3.) Mail an support


ist teilweise auch so beschrieben https://support.mailbox.org/knowledge-base/article/e-mail-adressen-der-eigenen-domain-nutzen


Danke an mailbox.org support für die gute Kooperation.

Freundliche Grüße

Aleks

Foto
1

Und jetzt alle eine E-mail mit DKIM-Key an den Support. Vielleicht implementieren sie dann endlich etwas zur Selbstverwaltung! :-)

Foto
1

Natürlich kann man alles verbessern. Man muss auch den Menschen Zeit geben etwas zu implementieren. Aber hey es ist leichter zu motzen an statt zu helfen.

Foto
1

Schon mal geschaut wie alt der Thread ist? Und AFAIR gab es davor auch schon Fragen betreffend DKIM. Mailtrace ist ein anderes Beispiel; vor > 1 Jahr "angekündigt". Aber egal, ich habe nur noch € 8 am Konto; wenn das verbraucht ist, gehe ich euch eh nicht mehr auf die Nüsse.

Foto
1

Ja habe ich gesehn .


Wohin zieht es dich und was war sonst noch das du weg gehst?

Ich bin gerade zu mailbox.org gegangen weil zoho mail schrott ist.

Foto
5

Hallo Zapata,

jeder User kann sich vom Support den DKIM-Schlüsseleintragen lassen. Das kostet uns 2-3 Minuten pro Key und machen wir gerne.

Ein Webinterface für Nutzer kostet ca. 24 Stunden Programmieraufwand. Das ist der Gegenwert von ca. 720 DKIM-Keys -- und dann wäre man scheinbar kostenneutral bei Null rausgekommen und hätte nichts gewonnen (aber unsere stark ausgelasteten Developer eingesetzt statt, schnell vom Helpdesk arbeiten zu lassen).

Und in diesen 24 Stunden haben unsere Coder dann nichts wichtigeres gemacht, was uns vorangebracht hätte. Insofern ist man bei 720 keys nicht bei einer schwarzen Null, sondern inhaltlich gesehen weiter tiefrot.

Wirtschaftlich würde sich ein DKIM-Webinterface vielleicht bei mehr als 5.000 DKIM-Keys in 2 Jahren rentieren. So viel gibt es aber nicht.

Insofern gibt es sehr gute Gründe warum wir unsere Developer derzeit für andere Aufgaben einsetzen, statt diese Ressourcen für eine negativ-Aktion zu verschwendet, die uns nicht nur bares Geld, sondern auch Features kostet, auf die wir warten. Das hat nichts damit zu tun, ob man unseren Support mit Protestmails flutet, denn auch in unserer Verantwortung den Nutzern gegenüber werden wir rational entscheiden, was wo wie Sinn ergibt. Wir werden das irgendwann angehen, aber es hat keine Priorität.

Foto
1

Hallo Peer,

habe ich es richtig verstanden, dass mittlerweile auch normale User einen DKIM Key auf Anfrage hinterlegen können? Laut Supportseite ging es ja leider bisher nur für Buisnesskunden.

Foto
1

Wenn man den Support freundlich fragt und Geduld mitbringt, bekommt man auch als Privatkunde einen DKIM-Eintrag. So steht es schon an andere Stelle hier im Forum und so bei mir hat so auch funktioniert.

Foto
1

Es ist zwar nett, dass der Support den DKIM Key manuell hinterlegt, aber ich möchte nicht vom Support abhängig sein. Danke.

Foto
2

Die ganze Infrastruktur die deinen Dienst versorgt ist vom Support abhängig.


Realistische Frage: Wie oft wechselst du DKIM Schlüssel, dass die Mail an die Mitarbeiter da ins Gewicht fallen würde?

Foto
1

@zapata: Das es ein echten Support mit echten Menschen gibt, die man fragen kann und die auch (meist) weiterhelfen, das ist doch eine der Besonderheiten von mailbox.org.

Foto
1

Die Frage mit dem Support stellt sich erst gar nicht:

Ich habe diesen Thread verfolgt und aufgrund des Vorschlags mit der Mail an den Support versucht, auch einen eigenen domain key für meine Domain einrichten zu lassen und habe meinen private key zum Signieren an den Support geschickt. Die Antwort war, dass sie dies an dieser Stelle leider nicht anbieten können.

Schade, kann ich aber auch verstehen. Mailbox.org ist trotzdem ein toller Mailservice

Foto
1

Es ist schade, dass Herr Heinlein gestern noch schrieb "jeder User kann sich vom Support den DKIM-Schlüsseleintragen lassen. Das kostet uns 2-3 Minuten pro Key und machen wir gerne." und seine eigenen Mitarbeiter davon nichts wissen wollen und lapidar antworten mit "An dieser Stelle können wir jedoch keinen Support für DKIM anbieten.

Bitte haben Sie Verständnis dafür."


"machen wir gerne" sieht für mich anders aus...

Foto
1

Dann würde ich mich nochmal an den Support wenden mit einem Hinweis auf die Aussage von Peer Heinlein in diesem Thread. ;-)

Foto
3

@thgeiges

Ich versuch es einfach nochmal mit dem Hinweis darauf=)

Ich würde es aber dennoch nicht so schlimm finden. Man kann nicht immer auf jeden speziellen Wunsch weniger Nutzer eingehen. Zudem finde ich den Umgangston der Nutzer in dem Forum teilweise echt mies. Frotzeln ist immer leicht und kann jeder.

Ich find den Service trotzdem erstklassig.

Jeder der mit 1€ pro Monat unzufrieden ist, darf sich selbst gerne einen Root-Server hosten und alles besser machen.

Foto
1

+1 ;-)

Foto
1

Also, ich hab es nochmal versucht und der Support hat meinen Key eingetragen. Somit sind meine oberen Einträge obsolet.

DKIM funktioniert, DMARC somit auch. Ich bin happy

Foto
1

Wie funktioniert DMARC?

Foto
Foto
1

Servus, habe meinen DKIM Key hinterlegen lassen. Vielen Dank dafür! Aber ich habe nun eine technische Frage:

Beim Test via http://dkimvalidator.com bekomme ich für DKIM ein generelles "pass".

Aber wenn man die Spam Assassin Resultate anschaut versteh ich da was nicht:

SpamAssassin Score: -0.59 Message is NOT marked as spam

Points breakdown: -0.7 RCVD_IN_DNSWL_LOW RBL: Sender listed at http://www.dnswl.org/, low trust [80.241.60.212 listed in list.dnswl.org]

0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily valid

0.0 T_DKIM_INVALID DKIM-Signature header exists but is not valid

Die letzte (fette) Zeile macht mich stutzig? Ist was falsch implementiert bei mir? DKIM an sich wird immer als valid und ok gekennzeichnet. Bei Spam Assassin steht jedoch " 0.0 T_DKIM_INVALID DKIM-Signature header exists but is not valid"

Kann mir jemand Auskunft geben? @Peer Heinlein eventuell... ;)

Foto
1

UPDATE: Wenn ich eine Nachricht OHNE Betreff & OHNE Inhalt sende bekomme ich die Meldung das eine valide Signatur vorhanden ist.

Foto
1

Hm... ich habe mir meinen auch eintragen lassen und es funktioniert immer. DMARC funktioniert auch. Wie hast du den Public Key in der Domain eingetragen? möchtest du mal den TXT deiner Domain nennen?

Foto
1

Hi, hier die TXT meines public key:

v=DKIM1;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDGR5K4rXj4N5uUyGYj+EOKBYMYj9QRiLtJNcrTsowNwg7pXtQCTlAnpW6KdkFv4iKg7DlyAQNflX+LakAVTFbky+mpAb8s+xe3FXAcrZ5C6hYISLZqSB93IwLOjA4KaHjLrrZHc9iw22DmGFmawesx8xfNN2gYXpFAAsp6yB0Q7QIDAQAB


Bin bei domaindiscount24

Foto
1

[hier stand müll]

Foto
1

Ich bekomme bei http://dkimvalidator.com die gleiche Meldung. Nach meiner Recherche liegt hier der Fehler aber bei SpamAssassin. Das Thunderbird-PlugIn DKIM Verifier oder http://www.appmaildev.com/de/dkim finden auch keine Fehler.

Foto
1

Ok, interessant. Was ist die Quelle bzgl des SpamAssassin Fehlers?

Foto
1

- gelöscht - Fehler hat sich erledigt.

Foto
1

So, meine vorherige Antwort war Müll, daher gelöscht. Nachfolgend eine nun sinnvolle Info wies bei mir ist:

Auf der Seite dkimvalidator.com habe ich auch die obige Problematik, dass bei einer komplett leeren Mail Spamassassin DKIM als valide erkennt, und bei einer Mail mit Testtext DKIM als invalid bewertet wird. Nur beim Spamassassin-Feld gibts dieses Problem. Die bloße DKIM-Prüfung im oberen Feld wird mit "pass" bewertet. Übrigens erkennt auch die Seite mail-tester.com die DKIM-Signatur als korrekt bzw. gültig. Das Verhalten von Spamassassin beim dkimvalidator tritt auch auf, wenn ich von einem Mailbox.org-Email-Alias (und nicht von der eigenen Doimain) ne Mail verschicke.

Was für mich sehr überraschend war bezüglich der DKIM-Einrichtung generell: Ich habe zuerst einen DNS-Eintrag erstellt, und dann den Schlüssel an Mailbox.org geschickt. Da Mailbox.org einen anderen Selektor genommen hat als ich vorgeschlagen hatte, hat es erst mal nicht funktioniert. Offenbar scheint der MTA von Mailbox.org beim ersten mal (oder auch jedes mal?) beim Signieren zu prüfen, ob im DNS der DKIM-key hinterlegt ist. Gibts da keinen DKIM-Schlüssel dann wird auch keine Signatur in der Mail erzeugt. Nach Korrektur des Selektors im DNS wurden die Mails auf einmal entsprechend signiert und alles funktioniert. Leider kann ich nicht rumspielen und testen, da ich bei meinem DNS-Provider die Änderung nicht übers Frontend machen kann (TXT-Eintrag>255 Zeichen weil Schlüsssel 2048-bit), sondern jedes mal über den Support gehen muss. Und ich möchte den Support möglichst wenig nerven, hier wie dort ;-)

Und Danke ans Mailbox.org/Heinlein-Team :-) für den DKIM-Service, vielleicht kommt ja irgendwann ne offizielle Änderung in der Hilfe/FAQ bei der eigenen Domain und vielleicht irgendwann sogar eine automatische Möglichkeit übers Frontend. ;-)

Foto
Foto
1

Ich hab mich wie von Herrn Heinlein beschrieben an den Support gewendet und mir wurde ein DKIM Schlüssel eingerichtet, alles hat ohne Probleme funktioniert. Die Einrichtung hat eine knappe Woche gedauert, dass die DKIM-Anfragen mit niedriger Priorität bearbeitet werden ist natürlich verständlich.

Ich möchte einfach mal vielen Dank für diesen tollen Service sagen!

Foto
1

Also ich habe vor ein paar Tagen den Support angeschrieben wie hier beschrieben, aber bis heute weder ne Antwort bekommen noch den Eintrag :'(

Foto
3

Wird noch was dauern, bei mir hat es glaube ich 8 Tage gedauert. Das wird sicher mit niedrigster Prio angegangen, was auch absolut OK ist, ist ja nicht zeitkritisch.

Foto
1

Naja finde es nur bissl schade das nicht gesagt wir "jo wir kümmern uns drumm wird aber bissl dauern"


Gar keine Antwort, da kommt man sich halt immer so verlassen vor.

Foto
Foto
1

Wie kann ich überprüfen ob der Public Key richtig in meinem DNS steht?

Foto
1

Ob er prinzipiell valide ist, lässt sich beispielsweise hier testen: http://dkimcore.org/tools/

Ob er gültig ist zu dem hinterlegten Private Key kann nur der Generator der DKIM-Signatur testen bzw. kann eine gesendete Mail getestet werden, ob sie eine valide Signatur hat:

http://dkimvalidator.com/

Foto
1

ah,

danke das zeigt wirklich an, dass es geht

- nachdem man herausgefunden hat was der "selector" ist = nummer.eigenerDomainname(ohne.de), also in meinem Fall:

1519896656.wagensommer -


Jetzt muss der Support nur noch meinen private Key (irgendwie?) eintragen (in deren DNS?), oder? Hab die Anfrage vorhin gemacht und versucht dies "nett" hinzubekommen :-)

Foto
1

Für Thunderbird gibt es ein Addon "DKIM Verifier", das dir farbig anzeigt, ob die DKIM-Signatur gültig ist.

Außerdem kannst du eine Email an check-auth@verifier.port25.com oder checkmyauth@auth.returnpath.net schicken, dann bekommst du auch eine Rückmeldung zur DKIM-Signatur.

Foto
1

Man kann auch einen Test auf https://mecsa.jrc.ec.europa.eu/ fahren. Fand diesen ganz schön zusammengefasst.

Foto
1

@7842928Dann schmeiße ich einfach mal den begriff Tor in den Raum.

Foto
1

;-) Tor und 1:0 für den Datenschutz

Foto
Foto
1

Ich konnte dank des Entgegenkommens von mailbox.org nun lange Zeit DKIM-signierte Emails versenden.

Seit gestern fehlt die Signatur plötzlich bei ca. 90% der Emails, nur bei manchen (ansonsten identischen) ist sie sporadisch vorhanden.

Tritt dies bei noch jemandem von euch auf?

Foto
1

Hab es gerade mit http://www.appmaildev.com/en/dkim/ ausprobiert. Dort heisst es auch


  1. DKIM-Result: none (no signature)

Foto
1

Danke für den Hinweis!


Kann den Fehler ebenfalls bestätigen, meine DKIM Signatur wird nicht erzeugt. Da kann ich ja froh sein, dass ich mein DMARC Record nicht sehr streng eingestellt habe...

Foto
1

oh man, bei mir auch keine signatur. was ist denn jetzt schon wieder los...!?

Foto
1

kann ich bestätigen. keine DKIM-Signatur

Foto
1

Nachdem das login geht, ist aber die URL zum Userforum nicht mehr aktiv. Jetzt heisst es unserforum6.mailbox.org. Über den Verlauf konnte ich diesen Thread auftrufen.

DKIM geht noch immer nicht.

Foto
1

Kann ich hier bestätigen. Es wird keine DKIM-Signatur mehr hinterlegt..

Foto
1

Bei mir funktioniert aktuell die DKIM Signatur bei meiner eigenen Domain (stand 10:52 Uhr)

Auch das Userforum ist jetzt wieder direkt erreichbar.

Foto
1

Wir sind gerade dran, es zu reparieren. Vollständig sollte es um die Mittagszeit herum wieder gehen. Vereinzelt (je nach Server, auf dem man rauskommt) kann es auch bereits jetzt schon wieder gehen.

Foto
1

Besten Dank! Es war ja auch schon gestern so, dass einzelne Mails signiert wurden, der Großteil aber eben nicht.

Schön, wenn die Reparatur Fortschritte macht und nochmals vielen Dank für dieses Feature überhaupt!!

Foto
Foto
1

Leider werden derzeit wohl immer noch nicht wieder alle Mails signiert. Seid ihr da noch dran oder sollte es eigentlich schon wieder funktionieren?

Foto
1

Inzwischen sollten die Änderungen abgeschlossen sein.

Wir beobachten jetzt noch, ob die Funktionalität gemäß Vorgabe auch zutrifft.

Foto
1

Besten Dank!!

Foto
4

Mails @mailbox.org haben im Email-Header eine gültige DKIM-Signatur, Mails @domain.tld erhalten keine DKIM-Signatur.


In der DKIM-Signatur wird die Nutzer-ID als Selektor (s=mail201xxxxx) und Mailbox.org als Domain (d=mailbox.org) gesetzt.


Ein Nutzer könnte in seinen DNS-Einstellungen auf seinen DKIM-Record bei euch verweisen und damit einen validen DKIM Record vorweisen:


mail201xxxxx._domainkey 14400 IN CNAME mail201xxxxx._domainkey.mailbox.org.


Falls ihr beim Versand einer Email @domain.tld prüft, ob der DKIM-Record gesetzt ist, könntet ihr für diese Mails ohne Mehraufwand eine gültige DKIM-Signatur (d=domain.tld) erstellen.

Foto
1

Moin moin zusammen,

der Support hinterlegt nun keine DKIM-Signaturen mehr per Hand. Es wird wohl im Moment aktiv an einer Self-Service-Lösung gearbeitet und man ist damit schon soweit, dass man Teile der Server-Infrastruktur derart geändert hat, dass die manuelle Lösung nicht mehr möglich ist.

Hoffen wir mal, dass es nur noch um Wochen und nicht um Monate dauert.

Frage an die Runde: Werden derartige Updates irgendwie mit den Anwendern kommuniziert? Gibt es eine Art technischen Newsletter, für den man sich registrieren kann? Bin erst seit zwei Tagen an Bord.


  1. Hallo,
  2. zur Zeit arbeiten unsere Entwickler an einer Self-Service-Lösung, die es allen unseren Kunden ermöglicht, DKIM einfach und unproblematisch auszurollen.
  3. Da wir hierfür bereits Vorbereitungen an den Systemen vornehmen mussten, können wir zur Zeit leider auch manuell kein Schlüsselmaterial hinterlegen und bitten noch um etwas Geduld.
  4. viele Grüße

Foto
1

Nicht so richtig … die Kommunikationspolitik im Rahmen der letzten großen Veränderungen war leider an den entscheidenden Stellen etwas mau.

Damit meine ich nicht, dass die positiven Veränderungen im Blog kommuniziert wurden (wobei ich ehrlicherweise zuerst auf heise davon gelesen hab). Du kannst dir die Infos auch per RSS reinholen.

Vor allem meine ich damit aber, dass es Probleme mit Datenverlusten gab, weil erst nicht und dann missverständlich kommuniziert wurde.

Ich hoffe, dass man sich da mal in der Runde zusammengesetzt und überlegt hat, wie man zukünftig während solcher Probleme einen Modus findet, dass man noch erreichbar bleibt, obwohl möglichst viele Mitarbeiter fieberhaft auf Fehlersuche sind.

Foto
1

Es gab nur ein einziges Problem und das waren CalDAV-IDs.


Davor haben wir binnen weniger Stunden umfassend informiert und alle potentiell betroffenen User (die wir in Logs identifizieren konnten) mehrfach individuell angemailt.


Am Ende stellte sich heraus, daß es vorrangig ein Bedienfehler der Nutzer war, die die Kalender pro-aktiv gelöscht haben und eine (vom Nutzer gewählte) App benutzt haben, die etwas missverständlich dargestellt hat, ob der Kalender-Account in der App, oder der Kalender mit seinen Daten gelöscht wurde.


Es kam nicht zu umfangreich großen Datenverlusten, sondern es handelte sich am Ende doch (nur) um Einzelfälle.


Für alle User, die sich ihren Kalender gelöscht haben, haben wir mit großem Aufwand als Backup ein Snapshort des Systems von wenigen Stunden vor der Migration bereitgestellt, wo mit sehr vertetbarem ein Export der alten Daten vorgenommen werden konnte, um diese in den aktuellen neuen vom Nutzer gelöschten Kalender zu importieren.


Ich möchte ausdrücklich zurückweisen, daß es a) relevant zu Datenverlusten gekommen ist und b) vor allem und erst recht, daß diese passiert sein sollen weil wir nicht kommuniziert haben.

Foto
5

Sag mal Peer, zu welchem konkreten Zeitpunkt können wir mit der Hinterlegung eigener DKIM Signaturen rechnen?

Foto
1

Ich kann Peer nur zustimmen.


Ich war damals selbst "betroffen". Einen Datenverlust seitens Mailbox gab es nicht.

Es war ein aktives Löschen des Kalenders, das über die App davdroid ausgeführt wurde. Der Server führte lediglich nur die erhaltenen Anweisungen aus.


Mailbox half den betroffenen über eine Parallelbereitstellung des alten Servers, sämtliche Daten herunterzuladen. Den Aufwand und Service schätze ich sehr.

Foto
Foto
1

Allgemeine Informationen wenn sich etwas grundlegend ändert: https://mailbox.org/de/blog?year=2019

Foto
1

Anscheinend gibt es jetzt einen öffentlichen DKIM-Schlüssel, den man als TXT-Record hinterlegen kann. Siehe "Optional: DKIM aktivieren" unter https://kb.mailbox.org/display/MBOKB/E-Mail-Adressen+der+eigenen+Domain+nutzen


Bedeutet das, dass alle Mailbox-User den selben Schlüssel verwenden?

Foto
1

Gute Frage. Ich denke, dazu wird es noch eine Erklärung seitens mailbox.org geben. Die Hilfeseiten müssen ja erstmal gefüttert werden, bevor man es kommuniziert.

Bin gespannt.

Aber freue mich schon, dass es endlich umgesetzt wird/wurde. Die machen das schon richtig...

Foto
1

Ja, darauf vertraue ich auch. Freut mich ebenfalls riesig, dass das umgesetzt wurde.

Foto
1

Ja, alle User haben binärmäßig den gleichen Schlüssel. Das ist aber egal, weil er ja unter der Kundendomain veröffentlicht wird und darum individuell/einzeln betrachtet und gewertet wird. Ich habe nur leider ein paar Jahre gebraucht das zu kapieren bis mich mal morgens der Blitz getroffen hat.

Foto
1

Wie sieht es eigentlich bei denen aus, die bereits eine DKIM Signatur hinterlegt haben. Kann diese ebenfalls auf die einheitliche geupdatet werden (wegen der Aliase) oder funktioniert das dort nicht?

Foto
1

Freut mich sehr, das DKIM für eigene Domains nun mit an Board ist. Vielen Dank ans Team!

Wie erkennt mailbox.org eigentlich, dass ich den öffentlichen Schlüssel in meinem DNS hinterlegt habe und dementsprechend eine DKIM-Signatur an meine Mails gehängt wird? Im Moment tragen ausgehende Mails noch keine solche. Wahrscheinlich braucht es einfach ein bisschen, bis der Record überall publik ist, oder liegt es daran, dass ich die Sicherheitsschlüssel nach der Registrierung meiner Adresse wieder aus dem DNS genommen habe?

Foto
1

Was passiert bei den Accounts, wo eigene Schlüssel hinterlegt worden sind?

Foto
1

Eine Antwort auf die beiden Fragen oben durch Mailbox.org selber wäre hilfreich. Ich kann hier nur mutmaßen:

1.) Wie erkennt mailbox.org eigentlich, dass ein öffentlicher Schlüssel im DNS hinterlegt ist?

Aus meiner Erfahrung beim Einrichten von DKIM vor langer Zeit durch den Support war es so, dass Mails erst mit Signatur versehen wurden, als der Schlüssel in meinem DNS hinterlegt war. Offenbar testet mailbox.org vor dem Absenden einer Mail, ob ein Schlüssel im DNS hinterlegt ist. Ob das nun bei jeder Mail erfolgt, oder hin und wieder, oder nur einmalig zum Einrichten, das weiß ich nicht. Zu beachten ist übrigens, dass eine Änderung im DNS erst ein bisschen Zeit benötigt, bis sie von außen verfügbar / sichtbar ist.

2.) Was passiert bei den Accounts, wo eigene Schlüssel hinterlegt worden sind?

Bei meinem Account mit eigener Domain ist noch nix passiert. Es wird weiter mein eigener Schlüssel verwendet. Es wird sich vermutlich erst dann ändern, sobald ich den Alias lösche. Lege ich ihn später wieder an, wird vermutlich der neue mailbox.org-DKIM-Schlüssel verwendet werden ... vermutlich mit der unter 1 beschriebenen Verfahrensweise.

Bin mal gespannt, ob meine Glaskugel halbwegs richtig liegt :-) und hoffe, dass sich mailbox.org hier oder im Blog dazu äußert. Vielleicht aber auch erst, sobald das System implementiert ist. Vielleicht wurde ja als erster Schritt die Hilfe angepasst.

Foto
1

Ich habe meine DNS Einträge entsprechend um DKIM und DMARC ergänzt und es funktioniert laut mxtoolbox.com einwandfrei. Eine an mich selbst adressierte Mail zeigt ebenfalls, dass eine korrekte DKIM Signatur vorhanden ist.

Foto
1

Bei Tests, ob ich mit meinen Vermutungen im Beitrag von eben (zwei weiter oben) Recht habe, habe ich ein für mich unverständliches Verhalten festgestellt:

Ich habe mir einen Testaccount zugelegt, und eine mir gehörende aber unbenutzte Domain als externen Alias eingerichtet. Mit diesem Testaccount unter dem Mailalias der mir gehörenden aber nicht benutzten Domain habe ich Mails an die einschlägigen Testseiten geschickt ... und auch an mich selber.

Dabei habe ich festgestellt, dass der Selektor der verschickten Emails der gleiche ist, wie der den der Support mir netter Weise vor 2 Jahren bei meinem bezahlten Account mit meiner eigenen richtigen Domain eingerichtet hat (v2017xxxx, wobei xxxx das genaue Datum ist). Folglich schlägt der DKIM-Test auch fehl, da ich im DNS der unbenutzten Domain zuerst den neuen allgemeinen MBO0001-Schlüssel hinterlegt hatte und dann gar keinen mehr.

Der einzige Zusammenhang den ich sehe ist der, dass meine Hauptdomain, die ich bei meinem bezahlten Account verwende, sowie die unbenutzte Domain, die ich für den Testaccount verwende, beim gleichen Provider auf dem gleichen Server liegt, und somit die gleiche IP hat. Nachtrag: Der zweite Zusammenhang ist der, dass ich die unbenutzte Domain mal vor langer Zeit als Alias bei dem Bezahlaccount eingerichtet hatte.

Wie gesagt ich bin verwirrt und verstehe das Verhalten nicht. Vielleicht hat jemand ne Ahnung, vielleicht lesen ja auch der Chef oder der Support mit :-) Es ist aber nix dringendes, da meine normale Mailadresse (bezahlter Account) soweit ich das sehe, perfekt funktioniert.

Foto
1

@ 8730247: Welchen Selector hast du denn bei mxtoolbox eingegeben für DKIM?

Foto
1

Ich habe gerade innerhalb weniger Minuten vier E-Mails von der gleichen Adresse versandt (bei deren Domain die DKIM-Keys wie in der KB beschrieben eingetragen sind): Bei der dritten Nachricht war eine gültige DKIM-Signatur dabei, bei den ersten beiden und der vierten Nachricht war keine DKIM-Signatur dabei...

Foto
1

Ich habe gestern beide Keys (mbo0001 und mbo0002) in meinem DNS hinterlegt, aber bisher werden ausgehende Mails noch nicht signiert. Vermutlich kommt mit einem Update noch ein Schalter zum Aktivieren in den Einstellungen?

Foto
1

Interessant. Beim dritten Versuch war die Signatur nun da. Perfekt, gute Arbeit!

Foto
1

Leider ist DKIM momentan noch nicht zuverlässig: Habe noch einmal drei E-Mails versandt, bei der zweiten E-Mail hat es geklappt, E-Mails 1 und 3 waren jedoch nicht signiert. Bin mir aber sicher, dass das noch gefixt wird.

Foto
1

wie kommt das eigentlich, dass es mal geht und dann wieder nicht geht? Müsste es dann nicht für immer gehen, oder woran liegt das?

Foto
1

Bei mir war es so, als ich meine Mail Adresse mit eigener Domain zur Hauptdomain erklärt habe, ab da an ging schon DKIM. Nur konnte ich die Schlüssel nicht richtig hinterlegen, da ich die nicht hatte.


"Ja, alle User haben binärmäßig den gleichen Schlüssel. Das ist aber egal, weil er ja unter der Kundendomain veröffentlicht wird und darum individuell/einzeln betrachtet und gewertet wird. Ich habe nur leider ein paar Jahre gebraucht das zu kapieren bis mich mal morgens der Blitz getroffen hat."

Hieraus kann schlussfolgert werden, wenn ein User über die SMTP Server von MBO sendet, findet keine Prüfung statt und sind keine individuellen Schlüssel hinterlegt?

Kann ich also auch mit der Mail Adresse eines anderen Users über MBO SMTP-Server senden und die DKIM Signatur ist trotzdem korrekt?

Und für die Hinterlegung der Schlüssel in die KB hat das ganze jetzt Jahre gedauert? Wo bleibt das Interface für die individuellen Schlüssel? Kommt da noch was?

Foto
1

Das sind alles sehr gute Fragen!

Technisch gesehen läuft es noch nicht so rund. So wird DKIM nur zu 50 % umgesetzt. Der Outbound-Record für den Hostname "mx2.mailbox.org" ist z.B. noch nicht via DKIM signiert. Möglicherweise wird dies durch mbo schrittweise live-geschalten. Je nachdem über welchen Hostname die Mail rausläuft, wird signiert oder nicht.

Getestet mit https://mecsa.jrc.ec.europa.eu/de/

Foto
1

@ 7090629: Also ich kann mir nicht vorstellen, dass mailbox.org nach so langem Warten nur eine halb-durchdachte Lösung auf den Markt/ins Produkt bringen.

Evtl. gibt es ja hier noch ein kleines Info-Update zu. Klingt schon etwas merkwürdig mit dem DKIM für alle gleich - aber da arbeiten ja schon sehr schlaue Köpfe. Von daher habe ich da schon Vertrauen rein.

Foto
1

@7842928: Ich kann bestätigen, dass E-Mails über smtp1.mailbox.org signiert werden, E-Mails über smtp2.mailbox.org jedoch nicht.

Foto
1

Hallo,

wir konnten noch einen kleinen Fehler ausbessern. Auch smtp2 signiert jetzt korrekt.

Foto
2

Man könnte das DKIM-Setup für eigene Domains denke ich noch weiter vereinfachen, indem man CNAME-Records nutzt (so macht es z.B. auch Amazon beim Simple Email Service): Mailbox.org erstellt die Records "MBO0001._domainkey" und "MBO0002._domainkey" auf der eigenen Domain und die Kunden verweisen darauf einfach per CNAME.

Dann könnte Mailbox.org die Schlüssel irgendwann mal austauschen, ohne _alle_ Kunden um ein Update bitten zu müssen.

Foto
1

So wie es aussieht können die Standardeinträge bei schon bestehenden DKIM Einträgen nicht genutzt werden. Hatte das heute durch Zufall bei einer Domain falsch gesetzt, die bereits aus der Vergangenheit DKIM Einträge besaß.

Foto
1

ich denke mal, ein Mailserver kann entweder den einen oder den anderen Key zur Signierung verwenden. Sofern vorher durch den Support schon einer vergeben wurde, ist es nur logisch, dass dieser weiterhin verwendet wird. Es sollen ja keine User „ausgesperrt“ werden, welche die Neuerung verpasst haben. Sicherheitstechnisch kommt es sich auf dasselbe raus.

Foto
Foto
1

@6943365

mbo0001 oder auch mbo0002.

Foto
1

Danke!

Foto
Foto
1

Die Benachrichtigungsmail von support@mailbox.org sind leider nicht (mehr?) DKIM-signiert.