Willkommen im User-Forum von mailbox.org
 

DKIM-Schlüssel hinterlegen/unterstützen bei eigenen Domains

Conrad K. hat dies geteilt, 4 Jahren her
erledigt

Hallo Zusammen,

es würde mich freuen, wenn es irgendwann die Option gibt, dass man bei Einsatz eigener Domains und hinterlegten DKIM-Schlüssel im DNS diese auch bei Mailbox.org hinterlegt und genutzt werden können für Versand und Empfang.


Viele Grüße

Conrad

Kommentare (25)

Foto
5

Hallo Conrad,


danke für das Feedback!


Ja, DKIM für eigene Domains steht auch nach wie vor auf unserer Wunschliste (https://support.mailbox.org/knowledge-base/article/spf-und-dkim-fuer-eine-eigene-domain-setzen). Momentan können wir leider noch nicht versprechen, wie lange es noch dauern wird, bis wir dafür die Kapazitäten haben.


Viele Grüße!

Foto
1

Hi!

Gibt es Neuigkeiten dazu? Erinnert irgendwie an das Thema "eigene Yubikeys". :-(

Unter https://support.mailbox.org/knowledge-base/article/e-mail-adressen-der-eigenen-domain-nutzen ist folgendes zu lesen:

"Um DKIM für Ihre bei uns gehostete Domain zu aktivieren, müssen wir Ihre DKIM-Schlüssel auf unseren Systemen einspielen. Dies ist ein aufwändiger manueller Prozess, den wir derzeit für Privatkunden leider nicht leisten können."

Also wieder eigener Mailserver!?

Cheers!

Foto
6

Wir haben dermaßen viel zu tun und dieses Feature bringt verglichen mit anderen Sachen zu wenig Vorteile, daß wir das für die nächsten 12 Monate nicht auf der Roadmap haben.


Wer das aber nett in ein Support-Ticket verpackt bekommt das auch gerne manuell eingespielt. Aber ein Userinterface ist derzeit zu viel Aufwand.

Foto
1

Hallo,

auch ich würde mich freuen, wenn man DKIM direkt per Userinterface einrichten könnte.

Ich freue mich aber besonders, dass das im Einzelfall auch manuell geht.

Dazu habe ich letzte Woche einen DKIM-Schlüssel an den Support übermittelt und würde mich freuen, wenn das Einspielen auf dem Mailserver klappt. Der zugehörige public key ist jedenfalls im DNS schon hinterlegt.

Foto
10

Wäre es nicht am einfachsten, wenn der DKIM Schlüssel für eigene Domains von mailbox.org selbst erzeugt und verwaltet wird? Dann müsste nur der DNS Record angezeigt werden, den man setzen muss. Das könnte im selben Schritt machen, in dem auch der Record für die Domainvalidierung gesetzt wird, dann ist es kaum Mehraufwand für die Benutzer.


Das fände ich bedeutend einfacher als selbst einen Schlüssel erzeugen zu müssen. Und für mailbox.org wäre es vermutlich auch einfacher. Ihr könntet sogar einfach euren Standardschlüssel verwenden.

Foto
1

That's how most e-mail providers operate.


+1 on DKIM request. Seems to be essential and rudimentary defence against email spoofing and phishing attempts.

Foto
1

+1 !!!!!

Foto
Foto
1

+1 für diesen guten Vorschlag!

Foto
1

Das wäre tatsächlich super!

Foto
1

Wie sieht es denn aktuell aus? Es wäre schön, wenn DKIM (wieder) zur Verfügung stehen würde.

Foto
1

Schließe mich an.

Foto
1

1-Click-DKIM-Support hätte seinen Platz auf der Roadmap (https://mailbox.org/work-in-progress/) verdient.

Foto
1

Die Seite ist eh für'n A....! Mailtrace (Vapourware?) fehlt auch... und "Individuell konfigurierbarer Spamschutz" wurde auf Q2 verlegt... Ende Juni steht es wahrscheinlich unter Q3. Wau, dieser Thread ist schon ein Jahr alt. Mailbox.org weiß wohl besser was wir User brauchen... bin eh bald weg.

Foto
1

@zapata: Darf ich fragen wohin du flüchtest?

Foto
1

Ich habe die letzte Woche und auch diese Woche gestern und heute alle notwendigen Voraussetzungen für den User-Spamschutzfilter geschaffen. Es gibt noch einen Bug (Ordnernamen mit "/" im Pfad werden falsch codiert) weswegen es auch nicht für Beta-Nutzer benutzbar ist. Das fixen wir morgen (aber vor einem Wochenende gibt es kein Rollout). Außerdem müssen wir noch die Doku/FAQ dazu schreiben, was vermutlich erst nach dem Wochenende passieren kann.


Heute Abend auf dem Heimweg hatte ich eine gute Idee für ein weitergehendes Spamschutzmodul. Aber ich habe gerade keinen Einblick in die Entwicklerkapazitäten, ob das vor Ostern was werden könnte. Aber wenn das klappt (das muß ich nochmal durchdenken) könnte ich ein 5 Jahre altes Problem lösen. Ich muß mir da mal tiefer Gedanken machen, ob das einen Haken hat.


Mailtrace läuft derzeit auf der Testmaschine und die Entwickler entwickeln darauf.Vor zwei Wochen gab's ein Update auf eine Alpha-Version.


Verschiedene Aktivitäten rund um die 7.8.3 und der Aufbau des neuen Kundensupport-Portals haben im Q1 dafür gesorgt, daß wir Projekte geschoben haben und die Entwickler anders eingesetzt haben. Wir versprechen uns von dem neuen Kundenticketsystem sehr viel bessere Userselbsthilfe und effizientiere Hilfe durch uns. Das war uns auch wichtig und ist ebenso vielfacher Kundenwunsch.

Foto
1

Hallo Peer.


Danke für das zuverlässige Service.


Ich bin gerade dabei von zoho mail zu euch zu wechseln und da wäre dieses dkim feature sehr schön zu haben.


LG Aleks

Foto
1

Dream on. Vielleicht spielt dir der Support das aber manuell ein.

Foto
1

Well das hat super funktioniert mit dem support ;-)


1.) Key erstellen http://dkimcore.org/tools/

2.) DNS Eintrag erstellen

3.) Mail an support


ist teilweise auch so beschrieben https://support.mailbox.org/knowledge-base/article/e-mail-adressen-der-eigenen-domain-nutzen


Danke an mailbox.org support für die gute Kooperation.

Freundliche Grüße

Aleks

Foto
1

Und jetzt alle eine E-mail mit DKIM-Key an den Support. Vielleicht implementieren sie dann endlich etwas zur Selbstverwaltung! :-)

Foto
1

Natürlich kann man alles verbessern. Man muss auch den Menschen Zeit geben etwas zu implementieren. Aber hey es ist leichter zu motzen an statt zu helfen.

Foto
1

Schon mal geschaut wie alt der Thread ist? Und AFAIR gab es davor auch schon Fragen betreffend DKIM. Mailtrace ist ein anderes Beispiel; vor > 1 Jahr "angekündigt". Aber egal, ich habe nur noch € 8 am Konto; wenn das verbraucht ist, gehe ich euch eh nicht mehr auf die Nüsse.

Foto
1

Ja habe ich gesehn .


Wohin zieht es dich und was war sonst noch das du weg gehst?

Ich bin gerade zu mailbox.org gegangen weil zoho mail schrott ist.

Foto
5

Hallo Zapata,

jeder User kann sich vom Support den DKIM-Schlüsseleintragen lassen. Das kostet uns 2-3 Minuten pro Key und machen wir gerne.

Ein Webinterface für Nutzer kostet ca. 24 Stunden Programmieraufwand. Das ist der Gegenwert von ca. 720 DKIM-Keys -- und dann wäre man scheinbar kostenneutral bei Null rausgekommen und hätte nichts gewonnen (aber unsere stark ausgelasteten Developer eingesetzt statt, schnell vom Helpdesk arbeiten zu lassen).

Und in diesen 24 Stunden haben unsere Coder dann nichts wichtigeres gemacht, was uns vorangebracht hätte. Insofern ist man bei 720 keys nicht bei einer schwarzen Null, sondern inhaltlich gesehen weiter tiefrot.

Wirtschaftlich würde sich ein DKIM-Webinterface vielleicht bei mehr als 5.000 DKIM-Keys in 2 Jahren rentieren. So viel gibt es aber nicht.

Insofern gibt es sehr gute Gründe warum wir unsere Developer derzeit für andere Aufgaben einsetzen, statt diese Ressourcen für eine negativ-Aktion zu verschwendet, die uns nicht nur bares Geld, sondern auch Features kostet, auf die wir warten. Das hat nichts damit zu tun, ob man unseren Support mit Protestmails flutet, denn auch in unserer Verantwortung den Nutzern gegenüber werden wir rational entscheiden, was wo wie Sinn ergibt. Wir werden das irgendwann angehen, aber es hat keine Priorität.

Foto
1

Hallo Peer,

habe ich es richtig verstanden, dass mittlerweile auch normale User einen DKIM Key auf Anfrage hinterlegen können? Laut Supportseite ging es ja leider bisher nur für Buisnesskunden.

Foto
1

Wenn man den Support freundlich fragt und Geduld mitbringt, bekommt man auch als Privatkunde einen DKIM-Eintrag. So steht es schon an andere Stelle hier im Forum und so bei mir hat so auch funktioniert.

Foto
1

Es ist zwar nett, dass der Support den DKIM Key manuell hinterlegt, aber ich möchte nicht vom Support abhängig sein. Danke.

Foto
2

Die ganze Infrastruktur die deinen Dienst versorgt ist vom Support abhängig.


Realistische Frage: Wie oft wechselst du DKIM Schlüssel, dass die Mail an die Mitarbeiter da ins Gewicht fallen würde?

Foto
1

@zapata: Das es ein echten Support mit echten Menschen gibt, die man fragen kann und die auch (meist) weiterhelfen, das ist doch eine der Besonderheiten von mailbox.org.

Foto
1

Die Frage mit dem Support stellt sich erst gar nicht:

Ich habe diesen Thread verfolgt und aufgrund des Vorschlags mit der Mail an den Support versucht, auch einen eigenen domain key für meine Domain einrichten zu lassen und habe meinen private key zum Signieren an den Support geschickt. Die Antwort war, dass sie dies an dieser Stelle leider nicht anbieten können.

Schade, kann ich aber auch verstehen. Mailbox.org ist trotzdem ein toller Mailservice

Foto
1

Es ist schade, dass Herr Heinlein gestern noch schrieb "jeder User kann sich vom Support den DKIM-Schlüsseleintragen lassen. Das kostet uns 2-3 Minuten pro Key und machen wir gerne." und seine eigenen Mitarbeiter davon nichts wissen wollen und lapidar antworten mit "An dieser Stelle können wir jedoch keinen Support für DKIM anbieten.

Bitte haben Sie Verständnis dafür."


"machen wir gerne" sieht für mich anders aus...

Foto
1

Dann würde ich mich nochmal an den Support wenden mit einem Hinweis auf die Aussage von Peer Heinlein in diesem Thread. ;-)

Foto
3

@thgeiges

Ich versuch es einfach nochmal mit dem Hinweis darauf=)

Ich würde es aber dennoch nicht so schlimm finden. Man kann nicht immer auf jeden speziellen Wunsch weniger Nutzer eingehen. Zudem finde ich den Umgangston der Nutzer in dem Forum teilweise echt mies. Frotzeln ist immer leicht und kann jeder.

Ich find den Service trotzdem erstklassig.

Jeder der mit 1€ pro Monat unzufrieden ist, darf sich selbst gerne einen Root-Server hosten und alles besser machen.

Foto
1

+1 ;-)

Foto
1

Also, ich hab es nochmal versucht und der Support hat meinen Key eingetragen. Somit sind meine oberen Einträge obsolet.

DKIM funktioniert, DMARC somit auch. Ich bin happy

Foto
1

Wie funktioniert DMARC?

Foto
Foto
1

Servus, habe meinen DKIM Key hinterlegen lassen. Vielen Dank dafür! Aber ich habe nun eine technische Frage:

Beim Test via http://dkimvalidator.com bekomme ich für DKIM ein generelles "pass".

Aber wenn man die Spam Assassin Resultate anschaut versteh ich da was nicht:

SpamAssassin Score: -0.59 Message is NOT marked as spam

Points breakdown: -0.7 RCVD_IN_DNSWL_LOW RBL: Sender listed at http://www.dnswl.org/, low trust [80.241.60.212 listed in list.dnswl.org]

0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily valid

0.0 T_DKIM_INVALID DKIM-Signature header exists but is not valid

Die letzte (fette) Zeile macht mich stutzig? Ist was falsch implementiert bei mir? DKIM an sich wird immer als valid und ok gekennzeichnet. Bei Spam Assassin steht jedoch " 0.0 T_DKIM_INVALID DKIM-Signature header exists but is not valid"

Kann mir jemand Auskunft geben? @Peer Heinlein eventuell... ;)

Foto
1

UPDATE: Wenn ich eine Nachricht OHNE Betreff & OHNE Inhalt sende bekomme ich die Meldung das eine valide Signatur vorhanden ist.

Foto
1

Hm... ich habe mir meinen auch eintragen lassen und es funktioniert immer. DMARC funktioniert auch. Wie hast du den Public Key in der Domain eingetragen? möchtest du mal den TXT deiner Domain nennen?

Foto
1

Hi, hier die TXT meines public key:

v=DKIM1;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDGR5K4rXj4N5uUyGYj+EOKBYMYj9QRiLtJNcrTsowNwg7pXtQCTlAnpW6KdkFv4iKg7DlyAQNflX+LakAVTFbky+mpAb8s+xe3FXAcrZ5C6hYISLZqSB93IwLOjA4KaHjLrrZHc9iw22DmGFmawesx8xfNN2gYXpFAAsp6yB0Q7QIDAQAB


Bin bei domaindiscount24

Foto
1

[hier stand müll]

Foto
1

Ich bekomme bei http://dkimvalidator.com die gleiche Meldung. Nach meiner Recherche liegt hier der Fehler aber bei SpamAssassin. Das Thunderbird-PlugIn DKIM Verifier oder http://www.appmaildev.com/de/dkim finden auch keine Fehler.

Foto
1

Ok, interessant. Was ist die Quelle bzgl des SpamAssassin Fehlers?

Foto
1

- gelöscht - Fehler hat sich erledigt.

Foto
1

So, meine vorherige Antwort war Müll, daher gelöscht. Nachfolgend eine nun sinnvolle Info wies bei mir ist:

Auf der Seite dkimvalidator.com habe ich auch die obige Problematik, dass bei einer komplett leeren Mail Spamassassin DKIM als valide erkennt, und bei einer Mail mit Testtext DKIM als invalid bewertet wird. Nur beim Spamassassin-Feld gibts dieses Problem. Die bloße DKIM-Prüfung im oberen Feld wird mit "pass" bewertet. Übrigens erkennt auch die Seite mail-tester.com die DKIM-Signatur als korrekt bzw. gültig. Das Verhalten von Spamassassin beim dkimvalidator tritt auch auf, wenn ich von einem Mailbox.org-Email-Alias (und nicht von der eigenen Doimain) ne Mail verschicke.

Was für mich sehr überraschend war bezüglich der DKIM-Einrichtung generell: Ich habe zuerst einen DNS-Eintrag erstellt, und dann den Schlüssel an Mailbox.org geschickt. Da Mailbox.org einen anderen Selektor genommen hat als ich vorgeschlagen hatte, hat es erst mal nicht funktioniert. Offenbar scheint der MTA von Mailbox.org beim ersten mal (oder auch jedes mal?) beim Signieren zu prüfen, ob im DNS der DKIM-key hinterlegt ist. Gibts da keinen DKIM-Schlüssel dann wird auch keine Signatur in der Mail erzeugt. Nach Korrektur des Selektors im DNS wurden die Mails auf einmal entsprechend signiert und alles funktioniert. Leider kann ich nicht rumspielen und testen, da ich bei meinem DNS-Provider die Änderung nicht übers Frontend machen kann (TXT-Eintrag>255 Zeichen weil Schlüsssel 2048-bit), sondern jedes mal über den Support gehen muss. Und ich möchte den Support möglichst wenig nerven, hier wie dort ;-)

Und Danke ans Mailbox.org/Heinlein-Team :-) für den DKIM-Service, vielleicht kommt ja irgendwann ne offizielle Änderung in der Hilfe/FAQ bei der eigenen Domain und vielleicht irgendwann sogar eine automatische Möglichkeit übers Frontend. ;-)

Foto
Foto
1

Ich hab mich wie von Herrn Heinlein beschrieben an den Support gewendet und mir wurde ein DKIM Schlüssel eingerichtet, alles hat ohne Probleme funktioniert. Die Einrichtung hat eine knappe Woche gedauert, dass die DKIM-Anfragen mit niedriger Priorität bearbeitet werden ist natürlich verständlich.

Ich möchte einfach mal vielen Dank für diesen tollen Service sagen!

Foto
1

Also ich habe vor ein paar Tagen den Support angeschrieben wie hier beschrieben, aber bis heute weder ne Antwort bekommen noch den Eintrag :'(

Foto
3

Wird noch was dauern, bei mir hat es glaube ich 8 Tage gedauert. Das wird sicher mit niedrigster Prio angegangen, was auch absolut OK ist, ist ja nicht zeitkritisch.

Foto
1

Naja finde es nur bissl schade das nicht gesagt wir "jo wir kümmern uns drumm wird aber bissl dauern"


Gar keine Antwort, da kommt man sich halt immer so verlassen vor.

Foto
Foto
1

Wie kann ich überprüfen ob der Public Key richtig in meinem DNS steht?

Foto
1

Ob er prinzipiell valide ist, lässt sich beispielsweise hier testen: http://dkimcore.org/tools/

Ob er gültig ist zu dem hinterlegten Private Key kann nur der Generator der DKIM-Signatur testen bzw. kann eine gesendete Mail getestet werden, ob sie eine valide Signatur hat:

http://dkimvalidator.com/

Foto
1

ah,

danke das zeigt wirklich an, dass es geht

- nachdem man herausgefunden hat was der "selector" ist = nummer.eigenerDomainname(ohne.de), also in meinem Fall:

1519896656.wagensommer -


Jetzt muss der Support nur noch meinen private Key (irgendwie?) eintragen (in deren DNS?), oder? Hab die Anfrage vorhin gemacht und versucht dies "nett" hinzubekommen :-)

Foto
1

Für Thunderbird gibt es ein Addon "DKIM Verifier", das dir farbig anzeigt, ob die DKIM-Signatur gültig ist.

Außerdem kannst du eine Email an check-auth@verifier.port25.com oder checkmyauth@auth.returnpath.net schicken, dann bekommst du auch eine Rückmeldung zur DKIM-Signatur.

Foto
1

Man kann auch einen Test auf https://mecsa.jrc.ec.europa.eu/ fahren. Fand diesen ganz schön zusammengefasst.

Foto
1

@7842928Dann schmeiße ich einfach mal den begriff Tor in den Raum.

Foto
1

;-) Tor und 1:0 für den Datenschutz

Foto
Foto
1

Ich konnte dank des Entgegenkommens von mailbox.org nun lange Zeit DKIM-signierte Emails versenden.

Seit gestern fehlt die Signatur plötzlich bei ca. 90% der Emails, nur bei manchen (ansonsten identischen) ist sie sporadisch vorhanden.

Tritt dies bei noch jemandem von euch auf?

Foto
1

Hab es gerade mit http://www.appmaildev.com/en/dkim/ ausprobiert. Dort heisst es auch


  1. DKIM-Result: none (no signature)

Foto
1

Danke für den Hinweis!


Kann den Fehler ebenfalls bestätigen, meine DKIM Signatur wird nicht erzeugt. Da kann ich ja froh sein, dass ich mein DMARC Record nicht sehr streng eingestellt habe...

Foto
1

oh man, bei mir auch keine signatur. was ist denn jetzt schon wieder los...!?

Foto
1

kann ich bestätigen. keine DKIM-Signatur

Foto
1

Nachdem das login geht, ist aber die URL zum Userforum nicht mehr aktiv. Jetzt heisst es unserforum6.mailbox.org. Über den Verlauf konnte ich diesen Thread auftrufen.

DKIM geht noch immer nicht.

Foto
1

Kann ich hier bestätigen. Es wird keine DKIM-Signatur mehr hinterlegt..

Foto
1

Bei mir funktioniert aktuell die DKIM Signatur bei meiner eigenen Domain (stand 10:52 Uhr)

Auch das Userforum ist jetzt wieder direkt erreichbar.

Foto
1

Wir sind gerade dran, es zu reparieren. Vollständig sollte es um die Mittagszeit herum wieder gehen. Vereinzelt (je nach Server, auf dem man rauskommt) kann es auch bereits jetzt schon wieder gehen.

Foto
1

Besten Dank! Es war ja auch schon gestern so, dass einzelne Mails signiert wurden, der Großteil aber eben nicht.

Schön, wenn die Reparatur Fortschritte macht und nochmals vielen Dank für dieses Feature überhaupt!!

Foto
Foto
1

Leider werden derzeit wohl immer noch nicht wieder alle Mails signiert. Seid ihr da noch dran oder sollte es eigentlich schon wieder funktionieren?

Foto
1

Inzwischen sollten die Änderungen abgeschlossen sein.

Wir beobachten jetzt noch, ob die Funktionalität gemäß Vorgabe auch zutrifft.

Foto
1

Besten Dank!!

Foto
4

Mails @mailbox.org haben im Email-Header eine gültige DKIM-Signatur, Mails @domain.tld erhalten keine DKIM-Signatur.


In der DKIM-Signatur wird die Nutzer-ID als Selektor (s=mail201xxxxx) und Mailbox.org als Domain (d=mailbox.org) gesetzt.


Ein Nutzer könnte in seinen DNS-Einstellungen auf seinen DKIM-Record bei euch verweisen und damit einen validen DKIM Record vorweisen:


mail201xxxxx._domainkey 14400 IN CNAME mail201xxxxx._domainkey.mailbox.org.


Falls ihr beim Versand einer Email @domain.tld prüft, ob der DKIM-Record gesetzt ist, könntet ihr für diese Mails ohne Mehraufwand eine gültige DKIM-Signatur (d=domain.tld) erstellen.

Foto
1

Moin moin zusammen,

der Support hinterlegt nun keine DKIM-Signaturen mehr per Hand. Es wird wohl im Moment aktiv an einer Self-Service-Lösung gearbeitet und man ist damit schon soweit, dass man Teile der Server-Infrastruktur derart geändert hat, dass die manuelle Lösung nicht mehr möglich ist.

Hoffen wir mal, dass es nur noch um Wochen und nicht um Monate dauert.

Frage an die Runde: Werden derartige Updates irgendwie mit den Anwendern kommuniziert? Gibt es eine Art technischen Newsletter, für den man sich registrieren kann? Bin erst seit zwei Tagen an Bord.


  1. Hallo,
  2. zur Zeit arbeiten unsere Entwickler an einer Self-Service-Lösung, die es allen unseren Kunden ermöglicht, DKIM einfach und unproblematisch auszurollen.
  3. Da wir hierfür bereits Vorbereitungen an den Systemen vornehmen mussten, können wir zur Zeit leider auch manuell kein Schlüsselmaterial hinterlegen und bitten noch um etwas Geduld.
  4. viele Grüße

Foto
1

Nicht so richtig … die Kommunikationspolitik im Rahmen der letzten großen Veränderungen war leider an den entscheidenden Stellen etwas mau.

Damit meine ich nicht, dass die positiven Veränderungen im Blog kommuniziert wurden (wobei ich ehrlicherweise zuerst auf heise davon gelesen hab). Du kannst dir die Infos auch per RSS reinholen.

Vor allem meine ich damit aber, dass es Probleme mit Datenverlusten gab, weil erst nicht und dann missverständlich kommuniziert wurde.

Ich hoffe, dass man sich da mal in der Runde zusammengesetzt und überlegt hat, wie man zukünftig während solcher Probleme einen Modus findet, dass man noch erreichbar bleibt, obwohl möglichst viele Mitarbeiter fieberhaft auf Fehlersuche sind.

Foto
1

Es gab nur ein einziges Problem und das waren CalDAV-IDs.


Davor haben wir binnen weniger Stunden umfassend informiert und alle potentiell betroffenen User (die wir in Logs identifizieren konnten) mehrfach individuell angemailt.


Am Ende stellte sich heraus, daß es vorrangig ein Bedienfehler der Nutzer war, die die Kalender pro-aktiv gelöscht haben und eine (vom Nutzer gewählte) App benutzt haben, die etwas missverständlich dargestellt hat, ob der Kalender-Account in der App, oder der Kalender mit seinen Daten gelöscht wurde.


Es kam nicht zu umfangreich großen Datenverlusten, sondern es handelte sich am Ende doch (nur) um Einzelfälle.


Für alle User, die sich ihren Kalender gelöscht haben, haben wir mit großem Aufwand als Backup ein Snapshort des Systems von wenigen Stunden vor der Migration bereitgestellt, wo mit sehr vertetbarem ein Export der alten Daten vorgenommen werden konnte, um diese in den aktuellen neuen vom Nutzer gelöschten Kalender zu importieren.


Ich möchte ausdrücklich zurückweisen, daß es a) relevant zu Datenverlusten gekommen ist und b) vor allem und erst recht, daß diese passiert sein sollen weil wir nicht kommuniziert haben.

Foto
5

Sag mal Peer, zu welchem konkreten Zeitpunkt können wir mit der Hinterlegung eigener DKIM Signaturen rechnen?

Foto
1

Ich kann Peer nur zustimmen.


Ich war damals selbst "betroffen". Einen Datenverlust seitens Mailbox gab es nicht.

Es war ein aktives Löschen des Kalenders, das über die App davdroid ausgeführt wurde. Der Server führte lediglich nur die erhaltenen Anweisungen aus.


Mailbox half den betroffenen über eine Parallelbereitstellung des alten Servers, sämtliche Daten herunterzuladen. Den Aufwand und Service schätze ich sehr.

Foto
Foto
1

Allgemeine Informationen wenn sich etwas grundlegend ändert: https://mailbox.org/de/blog?year=2019

Foto
1

Anscheinend gibt es jetzt einen öffentlichen DKIM-Schlüssel, den man als TXT-Record hinterlegen kann. Siehe "Optional: DKIM aktivieren" unter https://kb.mailbox.org/display/MBOKB/E-Mail-Adressen+der+eigenen+Domain+nutzen


Bedeutet das, dass alle Mailbox-User den selben Schlüssel verwenden?

Foto
1

Gute Frage. Ich denke, dazu wird es noch eine Erklärung seitens mailbox.org geben. Die Hilfeseiten müssen ja erstmal gefüttert werden, bevor man es kommuniziert.

Bin gespannt.

Aber freue mich schon, dass es endlich umgesetzt wird/wurde. Die machen das schon richtig...

Foto
1

Ja, darauf vertraue ich auch. Freut mich ebenfalls riesig, dass das umgesetzt wurde.

Foto
1

Ja, alle User haben binärmäßig den gleichen Schlüssel. Das ist aber egal, weil er ja unter der Kundendomain veröffentlicht wird und darum individuell/einzeln betrachtet und gewertet wird. Ich habe nur leider ein paar Jahre gebraucht das zu kapieren bis mich mal morgens der Blitz getroffen hat.

Foto
1

Wie sieht es eigentlich bei denen aus, die bereits eine DKIM Signatur hinterlegt haben. Kann diese ebenfalls auf die einheitliche geupdatet werden (wegen der Aliase) oder funktioniert das dort nicht?

Foto
1

Freut mich sehr, das DKIM für eigene Domains nun mit an Board ist. Vielen Dank ans Team!

Wie erkennt mailbox.org eigentlich, dass ich den öffentlichen Schlüssel in meinem DNS hinterlegt habe und dementsprechend eine DKIM-Signatur an meine Mails gehängt wird? Im Moment tragen ausgehende Mails noch keine solche. Wahrscheinlich braucht es einfach ein bisschen, bis der Record überall publik ist, oder liegt es daran, dass ich die Sicherheitsschlüssel nach der Registrierung meiner Adresse wieder aus dem DNS genommen habe?

Foto
1

Was passiert bei den Accounts, wo eigene Schlüssel hinterlegt worden sind?

Foto
1

Eine Antwort auf die beiden Fragen oben durch Mailbox.org selber wäre hilfreich. Ich kann hier nur mutmaßen:

1.) Wie erkennt mailbox.org eigentlich, dass ein öffentlicher Schlüssel im DNS hinterlegt ist?

Aus meiner Erfahrung beim Einrichten von DKIM vor langer Zeit durch den Support war es so, dass Mails erst mit Signatur versehen wurden, als der Schlüssel in meinem DNS hinterlegt war. Offenbar testet mailbox.org vor dem Absenden einer Mail, ob ein Schlüssel im DNS hinterlegt ist. Ob das nun bei jeder Mail erfolgt, oder hin und wieder, oder nur einmalig zum Einrichten, das weiß ich nicht. Zu beachten ist übrigens, dass eine Änderung im DNS erst ein bisschen Zeit benötigt, bis sie von außen verfügbar / sichtbar ist.

2.) Was passiert bei den Accounts, wo eigene Schlüssel hinterlegt worden sind?

Bei meinem Account mit eigener Domain ist noch nix passiert. Es wird weiter mein eigener Schlüssel verwendet. Es wird sich vermutlich erst dann ändern, sobald ich den Alias lösche. Lege ich ihn später wieder an, wird vermutlich der neue mailbox.org-DKIM-Schlüssel verwendet werden ... vermutlich mit der unter 1 beschriebenen Verfahrensweise.

Bin mal gespannt, ob meine Glaskugel halbwegs richtig liegt :-) und hoffe, dass sich mailbox.org hier oder im Blog dazu äußert. Vielleicht aber auch erst, sobald das System implementiert ist. Vielleicht wurde ja als erster Schritt die Hilfe angepasst.

Foto
2

Ich habe meine DNS Einträge entsprechend um DKIM und DMARC ergänzt und es funktioniert laut mxtoolbox.com einwandfrei. Eine an mich selbst adressierte Mail zeigt ebenfalls, dass eine korrekte DKIM Signatur vorhanden ist.

Foto
1

Bei Tests, ob ich mit meinen Vermutungen im Beitrag von eben (zwei weiter oben) Recht habe, habe ich ein für mich unverständliches Verhalten festgestellt:

Ich habe mir einen Testaccount zugelegt, und eine mir gehörende aber unbenutzte Domain als externen Alias eingerichtet. Mit diesem Testaccount unter dem Mailalias der mir gehörenden aber nicht benutzten Domain habe ich Mails an die einschlägigen Testseiten geschickt ... und auch an mich selber.

Dabei habe ich festgestellt, dass der Selektor der verschickten Emails der gleiche ist, wie der den der Support mir netter Weise vor 2 Jahren bei meinem bezahlten Account mit meiner eigenen richtigen Domain eingerichtet hat (v2017xxxx, wobei xxxx das genaue Datum ist). Folglich schlägt der DKIM-Test auch fehl, da ich im DNS der unbenutzten Domain zuerst den neuen allgemeinen MBO0001-Schlüssel hinterlegt hatte und dann gar keinen mehr.

Der einzige Zusammenhang den ich sehe ist der, dass meine Hauptdomain, die ich bei meinem bezahlten Account verwende, sowie die unbenutzte Domain, die ich für den Testaccount verwende, beim gleichen Provider auf dem gleichen Server liegt, und somit die gleiche IP hat. Nachtrag: Der zweite Zusammenhang ist der, dass ich die unbenutzte Domain mal vor langer Zeit als Alias bei dem Bezahlaccount eingerichtet hatte.

Wie gesagt ich bin verwirrt und verstehe das Verhalten nicht. Vielleicht hat jemand ne Ahnung, vielleicht lesen ja auch der Chef oder der Support mit :-) Es ist aber nix dringendes, da meine normale Mailadresse (bezahlter Account) soweit ich das sehe, perfekt funktioniert.

Foto
1

@ 8730247: Welchen Selector hast du denn bei mxtoolbox eingegeben für DKIM?

Foto
1

Ich habe gerade innerhalb weniger Minuten vier E-Mails von der gleichen Adresse versandt (bei deren Domain die DKIM-Keys wie in der KB beschrieben eingetragen sind): Bei der dritten Nachricht war eine gültige DKIM-Signatur dabei, bei den ersten beiden und der vierten Nachricht war keine DKIM-Signatur dabei...

Foto
1

Ich habe gestern beide Keys (mbo0001 und mbo0002) in meinem DNS hinterlegt, aber bisher werden ausgehende Mails noch nicht signiert. Vermutlich kommt mit einem Update noch ein Schalter zum Aktivieren in den Einstellungen?

Foto
1

Interessant. Beim dritten Versuch war die Signatur nun da. Perfekt, gute Arbeit!

Foto
1

Leider ist DKIM momentan noch nicht zuverlässig: Habe noch einmal drei E-Mails versandt, bei der zweiten E-Mail hat es geklappt, E-Mails 1 und 3 waren jedoch nicht signiert. Bin mir aber sicher, dass das noch gefixt wird.

Foto
1

wie kommt das eigentlich, dass es mal geht und dann wieder nicht geht? Müsste es dann nicht für immer gehen, oder woran liegt das?

Foto
1

Bei mir war es so, als ich meine Mail Adresse mit eigener Domain zur Hauptdomain erklärt habe, ab da an ging schon DKIM. Nur konnte ich die Schlüssel nicht richtig hinterlegen, da ich die nicht hatte.


"Ja, alle User haben binärmäßig den gleichen Schlüssel. Das ist aber egal, weil er ja unter der Kundendomain veröffentlicht wird und darum individuell/einzeln betrachtet und gewertet wird. Ich habe nur leider ein paar Jahre gebraucht das zu kapieren bis mich mal morgens der Blitz getroffen hat."

Hieraus kann schlussfolgert werden, wenn ein User über die SMTP Server von MBO sendet, findet keine Prüfung statt und sind keine individuellen Schlüssel hinterlegt?

Kann ich also auch mit der Mail Adresse eines anderen Users über MBO SMTP-Server senden und die DKIM Signatur ist trotzdem korrekt?

Und für die Hinterlegung der Schlüssel in die KB hat das ganze jetzt Jahre gedauert? Wo bleibt das Interface für die individuellen Schlüssel? Kommt da noch was?

Foto
1

Das sind alles sehr gute Fragen!

Technisch gesehen läuft es noch nicht so rund. So wird DKIM nur zu 50 % umgesetzt. Der Outbound-Record für den Hostname "mx2.mailbox.org" ist z.B. noch nicht via DKIM signiert. Möglicherweise wird dies durch mbo schrittweise live-geschalten. Je nachdem über welchen Hostname die Mail rausläuft, wird signiert oder nicht.

Getestet mit https://mecsa.jrc.ec.europa.eu/de/

Foto
1

@ 7090629: Also ich kann mir nicht vorstellen, dass mailbox.org nach so langem Warten nur eine halb-durchdachte Lösung auf den Markt/ins Produkt bringen.

Evtl. gibt es ja hier noch ein kleines Info-Update zu. Klingt schon etwas merkwürdig mit dem DKIM für alle gleich - aber da arbeiten ja schon sehr schlaue Köpfe. Von daher habe ich da schon Vertrauen rein.

Foto
1

@7842928: Ich kann bestätigen, dass E-Mails über smtp1.mailbox.org signiert werden, E-Mails über smtp2.mailbox.org jedoch nicht.

Foto
2

Hallo,

wir konnten noch einen kleinen Fehler ausbessern. Auch smtp2 signiert jetzt korrekt.

Foto
3

Man könnte das DKIM-Setup für eigene Domains denke ich noch weiter vereinfachen, indem man CNAME-Records nutzt (so macht es z.B. auch Amazon beim Simple Email Service): Mailbox.org erstellt die Records "MBO0001._domainkey" und "MBO0002._domainkey" auf der eigenen Domain und die Kunden verweisen darauf einfach per CNAME.

Dann könnte Mailbox.org die Schlüssel irgendwann mal austauschen, ohne _alle_ Kunden um ein Update bitten zu müssen.

Foto
1

So wie es aussieht können die Standardeinträge bei schon bestehenden DKIM Einträgen nicht genutzt werden. Hatte das heute durch Zufall bei einer Domain falsch gesetzt, die bereits aus der Vergangenheit DKIM Einträge besaß.

Foto
1

ich denke mal, ein Mailserver kann entweder den einen oder den anderen Key zur Signierung verwenden. Sofern vorher durch den Support schon einer vergeben wurde, ist es nur logisch, dass dieser weiterhin verwendet wird. Es sollen ja keine User „ausgesperrt“ werden, welche die Neuerung verpasst haben. Sicherheitstechnisch kommt es sich auf dasselbe raus.

Foto
1

https://userforum.mailbox.org/topic/dkim-schl%C3%BCssel-hinterlegenunterst%C3%BCtzen-bei-eigenen-domains#comment-18175

"Ja, alle User haben binärmäßig den gleichen Schlüssel. Das ist aber egal, weil er ja unter der Kundendomain veröffentlicht wird und darum individuell/einzeln betrachtet und gewertet wird."

Das würde ich verstehen, wenn in den Einstellungen individuell Selektoren vergeben werden könnten.Die nur zwei Selektoren mbO0001 und mbO0002 identifizieren quasi die beiden Schlüssel und machen sie so doch recht gut angreifbar.

Mit indiduellen Selektoren wären die mailbox.org Schlüssel nicht mehr so leicht auffindbar und das wäre schon etwas mehr. Selbst damit könnte sich der ggf. glücklich erfolgreiche Hacker mit einem geknackten private key auf die Suche nach passenden öffentlichen Schlüsseln begeben.

Mir erscheinen wechselnde eigene Schlüssel nach wie vor eine (Sicherheits-)Klasse für sich zu sein.

Oder habe ich etwas nicht verstanden?

Foto
1

An was für Angriffe denkst du konkret?

Foto
1

Hallo,

es gab ja die Diskussion um DKIM Schlüssellängen. Mein Verifyer beschwert sich bereits bei 1024 bit, weil die Zeit für einen Brute Force Angriff um einen zu einem öffentlichen Schlüssel passenden privaten Schlüssel zu ermitteln immer kürzer wird. Das übliche "Wettrüsten".

Daher soll ja auch in gewissen Abständen je Domain ein neuer Schlüssel mit einem neuen Selektor verwendet werden. Die - nicht absolute (gibt es nicht) - praktische Sicherheit der Authentizität ergibt sich bei SPF/DKIM/DMARC dadurch, das so viele ausreichend starke Schlüssel für je so kurze Zeit verwendet werden, dass die Wahrscheinlichkeit, dass ein bestimmter Schlüssel gaknackt wurde sehr gering wird.

Noch anders bei einer großen Körperschaft, die etwa lohnendes Ziel für brute force sein könnte:

Hier helfen nur hinreichend häufig neu gesetzte und hinreichend starke Schlüssel, so dass die Zeitfenster, in denen ein geknackter Schlüssel für Identitätsdiebstahl verwendet werden kann, auf der Zeitachse möglichst verschwinden.

Wenn ich nicht gelegentlich einen frischen, sicher nicht geknackten, Schlüssel verwenden kann, dann kann ich es auch gleich sein lassen. Dann erzeugt ein gelungener DKIM Check eher ein trügerisches Gefühl von Sicherheit als tatsächliche.

Foto
1

Es ist durchaus denkbar, dass MBO die Schlüssel mit nur den beiden Selektoren rotiert. Die Selektoren sind letztlich nur Bezeichner, denen kein weiterer Wert zugemessen wird. Denkbar wäre also, dass MBO zunächst für einen bestimmten Zeitraum (z. B. 3 Monate) nur mit dem Selektor MBO0001 arbeitet, dann auf MBO0002 wechselt, den Schlüssel von MBO0001 nach einer Überliegefrist von z. B. zwei Wochen auswechselt, und nach weiteren 3 Monaten wieder zurück auf MBO0001 wechselt, aber dann mit dem neuen Schlüsselmaterial.

RFC 6376 sagt dazu unter 5.2 etwa: "In particular, when rotating to a new key pair, signing should immediately commence with the new private key, and the old public key should be retained for a reasonable validation interval before being removed from the key server."

Wie es tatsächlich technisch umgesetzt wird, kann nur MBO sagen bzw. man könnte es auch durch Beobachtung über einen längeren Zeitraum herausfinden – entscheidend ist aber, dass (auch wenn es sich eingebürgert hat, das Datum in den Namen der Selektoren aufzunehmen) die Nutzung von zwei generischen Selektoren der regelmäßigen Rotation der DKIM-Schlüssel nicht entgegensteht.

Foto
1

Ich erlär's 'mal anhand von zwei Beispielen:

1) Du bist ein Weltkonzern mit der Domain example.com ("example" durch den Namen bzw. Domainnamen eines Weltkonzern oder großen Providers ersetzen...)

Dann kannst Du davon ausgehen, dass Mafia&Clyde in deinen DNS Einträgen nach DKIM Schlüsseln suchen.

Jede irgendwo abgefischte DKIM signierte Mail enthält im Header den Selektor des Schlüssels, denn der ist ja für die Prüfung erforderlich. Der öffentliche Schlüssel ist vor Mafia&Clyde nicht lange zu verstecken. Das Rechnen, Knacken geht los und irgendwo zwischen einer Millisekunde (Zufalls-Glückstreffer bei Mafia&Clyde) und Monaten... ist der Schlüssel geknackt...

Davon wird das Unternehmen mit der Domain example.com jedenfalls ausgehen und regelmäßig neue Schlüsselpaare erzeugen.

2) Hier in der Knowledge Base steht, dass mbo derzeit zwei DKIM Schlüssel mit den Selektoren a und b einsetzt (Na, ja, eben nicht "a" und "b", aber die sind auch nicht versteckt).

Ganz transparent. Wer die Authentizität sämtlicher Mails aus den mbo Servern nichten möchte braucht nur zwei Schlüssel knacken und mails über mbo, die nicht peer to peer verschlüsselt sind, sind unsafe!

Ein Punkt ist eben, dass DKIM entstanden ist, weil PGP keine Massenbewegung geworden ist. Natürlich kann man DKIM und zusätzlich PGP signieren, aber der Großteil der Welt prüft die PGP Signaturen einfach nicht.

Ich kenne niemanden, der jemals eine PGP Signatur von mir geprüft hätte.

Foto
1

Hinter den zwei gleich bleibenden Selektoren können immer wieder neue Schlüssel hinterlegt werden. Es ist dafür nicht notwendig, die Selektoren immer wieder anders zu benennen.

Foto
1

Dann müsste das aber auch so gemacht werden.

Derzeit gibt man die hier angegebenen Schlüssel per Copy&Paste in sein DNS in den TXT Record ein und das ist statisch. Also kann man auf den Hack warten...

Das rollieren mit gleichbleibenden Selektoren könnte, so weit ich es nachvollziehen kann, per CNAME, also per Übernahme des DNS Eitrags einer anderen Domain, gehen.

mbo könnte also recht hohe Sicherheit der Authentizität anbieten - auch mit nur zwei Selektoren - wenn die Anleitung für alle Kunden eben diese Übernahme per CNAME vorschreiben und die Schlüssel in z.B. vierzehntägigem Turnus mit je einem neuen Schlüssel in dem je alten Selektor aufgefrischt und in den SMTP Servern verwendet würden. Das wäre eine völlig andere Welt, als jetzt. Unter dem Vorbehalt, dass das mit dem CNAME im DNS funtioniert.

Foto
1

...also damit wäre ich schon zufrieden. Ich würde mbo aber nicht wirklich diesen Weg empfehlen wollen, sondern einen anderen:

1) Kunde legt den öffentlichen Key in seinem DNS Zugriff in das DNS und den Selektor und privaten Key in eine Eingabemaske in den Einstellungen des mbo Postfaches (das wenigstens zwei Schlüsselpaare und Selektoren aufnehmen können sollte). Umschalten zwischen den Schlüsselpaaren bzw. Selektoren durch Radio Button.

2) mbo bringt die Ausgangsserver dazu, den gewählten Selektor und den dazu passenden privaten Schlüssel für die Signaturen des Header- und Body-Hashes zu verwenden.


Das wäre m.E. noch einmal ein ganz anders eleganter Ansatz ...

Letztlich sollten DKIM Schlüssel schon eine Weile im Netz bleiben, damit auch Clients, die z.B. nach einem Urlaub 3 Wochen alte Mails abholen, die DKIM Signaturen noch prüfen können. Ein paar Selektoren und Schlüssel sind da also schon ganz sinnvoll. Zwei ist das Minimum.

Foto
1

So, meine Tests mit einer Privaten Mailadresse sind durch.

Schön, das mbo 2048 Bit Schlüssel verwendet.


Ich kann aus meinem Mailclient, meinem Webmailer (Nextcloud) sowie dem mbo Office DKIM signiert senden und der DKIM verifyer sieht aus, wie er soll: valide signiert von meiner Domain. Keine Warnung.

Jetzt fehlen zum Glück wirklich nur noch individuelle Schlüsselpaare und Selektoren.

bei 2048 Bit vermute ich 'mal, das etwa 4 bis 6 Wochen Lebensdauer der Schlüssel im Netz und ein neuer Schlüssel alle zwei Wochen recht super Orientierungspunkte sein können. Das sollte für die meisten spät abgeholten Mails und deren Prüfung noch reichen und wegen der 2048 Bit Identitätsdieben das Leben schwer genug machen.

Kleiner Sicherheitstipp zu Selektoren:

Wenn Selektoren die Lebensdauer eines Schlüssels erkennbar machen, dann würde ich als ID-Highjacker immer den jüngsten zu knacken versuchen, damit ich so lange wie möglich mit dem errechneten privaten- und dem öffentlichen Schlüssel des Opfers Fake-E-Mails senden könnte.

Foto
2

Hi zusammen,

jetzt muss ich doch nochmal nachfragen. Wieso muss ich zum Versand von gefakten E-Mails unter falschem Absender irgendetwas „hacken“??


Es genügt doch...

- einen kostenlosen Testaccount zu erstellen,

- mit einem beliebigen Mail-Client eine gefakte Absenderadresse zu erstellen (z.B. fake@fremdedomain.de)

- die Mail über den Testaccount zu versenden und


- schon erhält das potentielle Opfer eine fein-säuberlich DKIM-signierte Mail, welche mit dem globalen mbo-Schlüssel signiert wurde.


Das „DKIM-Schlüssel-OK“ im Client des Opfers hat somit nur schmucken Beiwerk-Charakter.


Berichtigt mich bitte, wenn ich mich irre!

Foto
1

Du hast Recht denke ich. Ist relativ einfach.


Das ist dann eher eine Sache, welche Uber SMTP Auth zu schützen gilt.


Wobei die DKIM Implementierung seitens Mailbox.org so aber auch relativ einmalig ist. Ansonsten gibt es eigentlich immer separate keys.


Ich denke aber mal, dass sie sich bei allem etwas dahinter gedacht haben.

Da sitzen schließlich viele schlaue Köpfe in Berlin.

Foto
1

Das macht nun ein ganz großes Faß auf, nämlich die Authentifizierung auf dem SMTP.

Ich habe mir auch schon einmal eine perfekt DKIM Signierte E-Mail von p.heinlein@mailbox.org gesendet.

8d69f265afb8f6e9938ed87d48e9a75aDass das ganz simpel ging, hat mich damals schon recht fassungslos gemacht.

Die ist von extern gar nicht und intern nur durch die Logfiles des SMTP von einer echten E-Mail von p.heinlein@mailbox.org zu unterscheiden.

Ich habe auch keinen MX im DNS meiner Domain auf mbo gesetzt.

Foto
1

Erst einmal: 8927163 war ich. Keine Ahnung, warum ich da mit einem anderen Forumsnamen eingeloggt war. Vermutlich wegen Wechsel der Hauptadresse. Und zu 7842928 oben: Wer ist denn da das Opfer? Der Besitzer der geklauten Identität oder der Empfänger?

Ohne Einrichtung des öffentlichen DKIM Schlüsels mit Selektor wurde bei meiner externen Domain nicht DKIM signiert. Auch nicht mit der Signatur, deren öffentlicher Schlüssel im DNS der mailbox.org liegt.

Du musst schon wissen, dass ich über diese Server sende, um meine Identität benutzen zu können.

Das ist aber ein denkbar schlechtes Versteck, wo doch die sendenden Server im SPF Eintrag stehen!

Wenn also der SMTP Server Auth mich nicht schützt, dann kann jeder:

In meiner Domain nachschauen -> "Ah, von dort aus sendet der!"

Sich hier mit einem Testaccount einloggen und (wohl nicht hier im Office, aber) von praktisch jedem Client oder Webmailer aus mit meiner Identität mailen, was für mich doofer ist als für p.heinlein@mailbox.org, weil ich leider nicht in die SMTP-Server Logfiles schauen kann...

Und: Wenn jemand meine Identität highjackt, bekomme ich die Fake-Mail nicht einmal in den Postausgang. Die geht dann nämlich gewöhnlich in den "Gesendet" von Mafia&Clyde.

Wenn ich Zet habe teste ich das 'mal, also von einem Testaccount meine andere Identität missbrauchen.

Foto
1

@KWie Jetzt bin ich bissel verwirrt. DKIM authentifiziert Domains, nicht Absenderadressen - dass mailbox.org da (aktuell - noch - nehme ich an) den selben Schlüssel für die eigene "große" Domain und für custom Kundendomains nimmt ist nicht wahnsinnig schön, aber doch schon viel besser als kein DKIM. DKIM ist ne völlig andere Liga als GPG. Hier von Identitätsdiebstahl zu sprechen finde ich bissel viel? Wikipedia: ``Es wurde konzipiert, um bei der Eindämmung von unerwünschter E-Mail wie Spam oder Phishing zu helfen.'' Das ist nicht ein wahnsinnig starker Claim. Und dafür ist das, was mailbox.org aktuell macht, doch ganz OK. Oder lieg' ich da falsch?

Ich wäre auch für custom Schlüssel, aber die aktuelle Lösung ist doch ne gute 80/20 Kompromiss (oder eher 95/5).

Foto
3

Das Einbinden der DKIM Schüssel mittels Selektoren über CNAME sieht für mich auch nach einer deutlich eleganteren Lösung aus (so wird es bspw. bei Fastmail oder Office 365 gemacht). Damit könnte eine Rotation bzw. eine generelle Änderung der Schlüssel zentral bei Mailbox erfolgen.

In der aktuellen Variante müssten bei einem Schlüsselaustausch alle Kunden, welche die generischen DKIM Schlüssel verwenden, benachrichtigt werden, um diese in Ihrer DNS Zone zu ändern.

Foto
1

@Florian, zu deinem Wiki-Artikel. In der jetzigen DKIM-Form wäre für den (aus einem zur missbräuchlichen Nutzung generierten mbo-Account heraus) Versand einer signierten Phishingmail Tür und Tor geöffnet.


Der Phisher nutzt mbo für seine Mails, fakt die Adresse einer Domain, welche die mbo-DKIM-Schlüssel im DNS hat, und kann signiert senden.


Ich stimme zu, bei mbo arbeiten definitiv Leute (Experten), die wissen was sie tun, die Regelung mit den globalen DNS-Keys für DKIM wirken jedoch wie ein „Schuss ins Knie“

Foto
1

Ja. Irgendwie schon sehr merkwürdig.

Aber manche Sachen sind nirgends perfekt. Das mit CNAME wie bei den Mitbewerbern ist hingegen eine sehr gute Idee und auch einfach für den Nutzer.

Mal schauen, wie deren Reaktion sein wird?

Hat es jemand von euch als Bug gemeldet oder dem Support?

Hier ist ja „nur“ das Forum, wo aber netterweise öfters auch der Chef und der Support mitliest.


Zusätzlich sollte aber das mit dem SMTP Auth auch nicht in Vergessenheit geraten.

Das in Kombi ist wirklich gefährlich (soweit mein Wissen das beurteilen kann).

Foto
1

Hallo,

so, ich habe mir 20 Minuten Zeit genommen, mit folgendem Ergebnis:

7b31f97af9107a404f8d2fdf5f782e20


Eine mit Testaccount gesendete Mail, die für den Empfänger nur durch die SMTP Server Logfiles, also nur mbo-intern, von einer echten Mail von mir zu unterscheiden ist.

Mafia&Clyde.inc sendet eine E-Mail mit meiner E-Mail Adresse, dank DKIM verifiziert angeblich von meiner Domain und erpresst das unschuldige Opfer (mich), das nun mich bei der Polizei anzeigt.

@Florian Sesser (und alle anderen natürlich): Ja, DKIM ist eine "Transportsicherung" für E-Mails und schützt Domains vor Missbrauch dadurch, dass ein Teil der Sicherung (public key, DKIM selector) erkennbar auf der Domain des angeblichen Senders liegen.

Aber was habe ich davon, wen auf einem shared Outbound Server jeder, der nur weiss, dass ich von dort sende, meine Domain missbrauchen kann? Ein naher Verwandter von mir musste wegen Identiitätsdiebstahl eine neue Domain registrieren, weil auf der alten der Identitätsdieb einfach IT-mäßig besser war, als dass wir etwas hätten unternehmen können.

Ich will ja nicht meckern, aber hier ist offenbar Authentizität ausschließlich durch andere Maßnahmen, wie PGPG Signatur oder peer to peer Verschlüsselung zu erreichen. Das hat aber niemand in meiner Familie, niemand in meinem Bekanntenkreis, keiner meiner Geschäftspartner...

Ich nehme also den Include:mailbox.org aus meinem SPF-Record und sage Tschüss.


P.S. Den: "Zusätzlich sollte aber das mit dem SMTP Auth auch nicht in Vergessenheit geraten.

Das in Kombi ist wirklich gefährlich (soweit mein Wissen das beurteilen kann)."

Das sehe ich genauso. DKIM ist für shared Outbound Mailserver gemacht, weil sich PGP nicht so durchgesetzt hat. Für einen eigenen Server reicht SPF mit -all ja völlig aus.

Dann sollte der Serverbetreiber aber auch die Kunden voreinander schützen.

Valide DKIM Signaturen für jeden Fake, SPAM Verbrecher- und Erpresserquatsch anzubieten halte ich für keine gute Idee. Da fände ich es erheblich besser, gar kein DKIM anzubieten.

Foto
2

Absender zu fälschen geht bei Emails. Das war schon immer so. Wer das nicht will, muss auf Messenger umsteigen, auf sms, oder was auch immer. Da ist das Fälschen des Absenders schwieriger. Bei Mails finde ich immer die Analogie zu Papier-Post-Briefen sehr schön: Auch hier kann ich als Absender notieren, was und wen ich will.

PGP hat sich nicht durchgesetzt. DKIM wird auch nicht flächendeckend verwendet. SPF ist aus gutem Grund auch keine Pflicht. Klar wird DKIM und spf bei einigen Providern geprüft, und einige lehnen die Mails bei Fehler auch wirklich ab. Aber ich kann mir keinen Endnutzer vorstellen, der die DKIM-Signatur prüft, und bei korrekter DKIM-Signatur der Mail mehr vertraut als ohne DKIM-Signatur. Sofern am anderen Ende der "Email-leitung" wirklich ein technischer Profi sitzt, und sich den Header anschaut, und prüft, ob die DKIM-Signatur korrekt ist, dann weiß diese Person auch, dass das Fälschen des Absenders ganz einfach ist. Von der anderen Seite aus gedacht: Der überwiegende Teil meiner KollegInnen in der Arbeit weiß nicht, was das Symbol einer per S/mime signierten Mail in Outlook genau bedeutet. Und hier reden wir von einer Signatur, über deren Vorhanden sein im Betrieb offiziell informiert wurde. Der Otto-Normal-Email-Nutzer hat von DKIM keine Ahnung und vertraut daher auch nicht darauf.

Es ist natürlich klar, das individuelle DKIM-Signaturen bei externen Domains eleganter wären. Vielleicht gibt es bei mailbox.org das ein oder andere was man verbessern kann. Ganz sicher gibt es beim Email-Standard eine Menge, was man verbessern könnte. Ebenso sicher sollte die Bevölkerung etwas mehr auf Datenschutz achten. Aktuell bekommen wir im Zeitalter von Facebook, google & Co die Sicherheit, die wir verdienen.

Wenn ich mir überlegen, was mein Vater für 5 EUR bei web.de für einen Müll bekommt (Tracking, Werbung, etc.), dann finde ich das Angebot hier bei mailbox.org immer wieder sensationell. Bisher hat sich mailbox.org weiter entwickelt, daher bin ich guter Dinge, dass ich mich auch in ein paar Jahren hier noch wohl fühle.

Foto
1

Hey! Ich schließe mich meinen Vorrednern an: Die DKIM Implementierung von mailbox.org verhindert, dass massenhaft Spam von privaten Domains verschickt wird. Klar wäre es schön, wenn man jede private Domain mit eigenen, frei rotierbaren Keys sichen könnte. So ein System vernünftig für alle zu implementieren ist aber ziemlich sicher extrem aufwändig und ich kann gut verstehen, dass das für mailbox.org nicht Prio eins hat. Ich bin super zufrieden, dass hier überhaupt DKIM angeboten wird! Allerdings beinhaltet mein Angriffsszenario auch nicht Leute die unter meinem Namen gezielt Spearfishing oder Ähnliches betreiben wollen.

Foto
1

MBO ist da ja nicht allein. Ich finde tatsächlich keinen Host für nach meinem Ermessen beruhigend sicheren E-Mail Versand. Was mir noch fehlt ist DKIM. Daher kann es durchaus ein, dass ich zähneknirschend den Weg auf einen Webspace mit eigener IP gehe um dort einen Mailserver zu betreiben. Das habe ich eigentlich umgehen wollen. Schon Käse, wenn ich mit meinem geschäftlichen und dem kostenlosen privaten De-Mail Account und mit meinen PGP Schlüsseln den Weg gehen muss, weil E-Mail sonst einfach nicht solide genug geht.

@Constantin: Wenn ich hier bleiben würde würde die DKIM Signatur von mbo nicht verhindern, dass tausende SPAM Mails pro Tag von meiner E-Mail Adresse mit meiner DKIM Signatur gesendet würden. Dank DKIM sogar mit einer erhöhten Zustellwahrscheinlichkeit! Ohne SMTP Auth macht DKIM sie Situation eher schlimmer als besser. Dafür gebe ich meine Mailadresse und meine Domain aber nicht her.

Foto
2

Es gibt Sie - auch in Deutschland. Jedoch nicht viele.


Fastmail bietet z.B. kein SMTP Auth an. Das kann ich sagen.

Foto
3

Ich melde mich dazu in ein paar Tagen, vorher komme ich vermutlich nicht dazu.

Und ich kann schonmal sagen, daß ich dann auch mit Neuigkeiten aufwarten kann. :-)

Foto
1

Danke für das Feedback.

Da sind wir ja gespannt was es fur Neuigkeiten gibt.

Evtl. findet sich zwischendurch ja auch mal die Zeit zu schreiben und wir erfahren evtl. die News auch schon was früher :-)


Danke

Foto
2

Ich persönlich bin kein Freund von limitierten Absenderkennungen, denn das widerspricht der ursprünglichen Idee von SMTP & Mail. Absender sind nicht sauber verifizierbar, auch nicht mittels SPF und wenn man ehrlich ist und technisch etwas in die Tiefe abtaucht, dann auch nicht wirklich sauber mit DKIM, und so wiegt man m.E.n. User ein einer trügerischen Sicherheit. Naja, das ist an anderer Stelle immer wieder umfangreich diskutiert, das müssen wir hier nicht nochmal machen.

Aber ich sehe auch ein, daß es grundsätzlich zumindest oberflächlichen Missbrauch eindämmt und ich kapituliere auch vor den zahlreichen Diskussionen mit Dritten, wo ich das sonst immer und immer wieder erklären muß weil uns sonst vorgeworfen wird, wir hätten Mail nicht verstanden. Und, natürlich, eine härtere Gangart hier macht mailbox.org auch für Spammer und Phisher unattraktiver, das hilft uns natürlich.

Wir haben im letzten Jahr verschiedene ganz elementare Umbauarbeiten gemacht, so zum Beispiel vor einem Dreivierteljahr den Umstand, dass Aliase bei uns anders behandelt werden, und dies hatte auch zum Ziel, irgendwann eine Kontrolle bezügl. der Absenderadressen einführen zu können. Früher ging das technisch-strukturell nicht, seit einigen Monaten ist die Grundlage dafür geschafen. Insb. standen hier früher die Verwendung von catchall-Adressen im Weg, das haben wir mittlerweile gelöst.

Wir haben darum vor einiger Zeit unsere Systeme so konfiguriert, daß wir zunächst protokolliert haben, wo Mails mit "falschen" Absendern verwendet werden, denn einige (sehr wenige) Privat- und Business-User nutzen auch irgendwelche mailbox.org-Accountdaten um damit zulässig andere Absender zu versenden. Das können wir nicht plötzlich und unangekündigt blocken, sonst zerstören wir diese Mails. Diese User haben aktuell eine Ausnahme im System und werden demnächst angeschrieben, alle anderen User (d.h. fast alle) können bereits keine fremden Absender mehr benutzen.

Und, ohne jetzt in die Details gehen zu wollen: Auch an einer anderen Stelle im System ist die Restriktion noch nicht ganz so hart. Iin bestimmten Möglichkeiten kann man noch nicht-existente Absender verwenden, aber auch das werden wir in den nächsten Wochen unterbinden, sobald wir die dadurch betroffenen User identifiziert und angemailt haben.

Foto
4

Guten Morgen Peer!


Danke für das umfassende Feedback in der Sache. Sehr schön.


Ein paar Fragen habe ich noch und hoffe es ist ok sie hier im Thread zu stellen:

- Sind denn damit auch die Maßnahmen bzgl. des ausgehenden Mailverkehrs (und Probleme mit Blacklisting) gemeint?

- eine Anpassung seitens der User ist jetzt hier nicht mehr vorzunehmen oder? Das passiert alles bei euch im System wenn ich das richtig verstehe.

- DKIM bleibt auch wie es ist, oder kommt hier noch was an Änderungen?

- bei einigen Usern wird mit der Maßnahme dann wohl die „Alias-Grenze“ durchstoßen. Gibt es hier entsprechend Tarif-Änderungen mit zubuchbaren Aliasen o.ä.?


Grüße in den Tag

Den

Foto
2

Hallo ans mailbox.org Team!


Warum jetzt von den anderen Teilnehmern hier im Thread gar nichts mehr kommt, obwohl das Thema doch weit oben angesiedelt war, weiß ich nicht. Aber ich würde mich nochmal über ein Feedback sehr freuen. Es wurde einiges getan, aber wie genau sagt man nicht (ist ja auch ok), aber was man genau getan hat und was da noch kommen wird, wäre doch schon sehr hilfreich und interessant. Würde mich freuen, wenn zumindest ein paar Fragen von meinem Post oben beantwortet werden würden, bzw. wenn es noch eine genauere Erklärung gibt, was bisher gemacht wurde und was noch kommen wird.


Grüße

Foto
1

Weis denn jemand wie lange es braucht bis die mbo Mailserver DKIM für die eigene Domain aktivieren?

Ich habe vor einer Stunde die TXT-Records gesetzt und schon einige Mails versendet.

Auch kann ich die TXT-Records bereits über nslookup/dig abrufen.

Die Emails sind aber alle noch nicht mit DKIM signiert.

Foto
1

Die müssen selber im DNS eingerichtet werden und sind dann (wie immer bei DNS) nach maximal 48 h verfügbar, in der Regel aber früher. Hast Du die den im DNS eingetragen? Mailbox.org hat damit eigentlich nichts zu tun ...

Foto
1

Welche TXT-Records hast du genau gesetzt?

Foto
1

Hi, danke euch für die schnellen Antworten.

Scheinbar habe ich alles richtig gemacht, war nur zu ungeduldig.

Jetzt werden die Emails richtig signiert.

Scheinbar dauert es ca. 1-2 Stunden nach Einrichtung im DNS-Server und reload der Zone.

p.s.: folgende TXT-Records habe ich verwendet: https://kb.mailbox.org/display/MBOKB/E-Mail-Adressen+der+eigenen+Domain+nutzen

Foto
Foto
1

@6943365

mbo0001 oder auch mbo0002.

Foto
1

Danke!

Foto
Foto
1

Die Benachrichtigungsmail von support@mailbox.org sind leider nicht (mehr?) DKIM-signiert.