Willkommen im User-Forum von mailbox.org
 

DMARC für eigene Domain

Dino Conte hat dies geteilt, 7 Monaten her
unbeantwortet

Ich hab SPF/DKIM für die eigene Domain erfolgreich eingerichtet, und die Mails werden entsprechend signiert. Vielen Dank an den Support an dieser Stelle für das erzeugen des DKIM-Schlüssels. Kann man auch den RR-Eintrag für DMARC hinterlegen?


Hiermit werden derzeit nur die Mails die über mailbox.org rausgehen, signiert.

Beste Antwort
Foto

DMARC kannste bei eigenen Domains im DNS selber hinterlegen (als TXT Eintrag): v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r

Kommentare (16)

Foto
1

evtl. hilft dir mein Kommentar in folgendem Thread weiter (ganz oben unter beste Antwort):

https://userforum.mailbox.org/topic/einsch%C3%A4tzung-schlechter-werte-beim-sicherheitscheck-bei-eigener-domain#comment-14092

Foto
2

DMARC kannste bei eigenen Domains im DNS selber hinterlegen (als TXT Eintrag): v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r

Foto
1

Danke @Daniel.


Ich bin bei Hosteurope und der Eintrag "v=DMARC1; p=quarantine; aspf=r; rua=mailto:<mail-adresse>; ruf=mailto:<mail-adresse>;" auf der Subdomain _dmarc brachte den gewünschten Erfolg.

Foto
1

Ich würde noch den Eintrag pct=100; sowie aspf=r in Betracht ziehen und wenn DKIM gesetzt ist, dann vielleicht auch adkim=r; (eventuell beide auch auf q, aber Vorsicht damit)

Foto
1

Hi Zusammen,


danke für die ganzen Antworten bzgl. DMARC, aber gibt es hier eine Vorgabe wie der "Standard-DMARC-Eintrag" zu sein hat, oder eine Richtung an derer man sich orientieren kann/soll?

In der Hilfe bei MBO ist bzgl. DMARC so nichts zu finden.


Was ich bisher gefunden habe ist:

v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@beispieldomain.de

Foto
1

So schwer ist der nicht und Bedarf ein paar grundlegenden Einträge sowie optionale Einträge:

https://www.msxfaq.de/spam/dmarc.htm


Bitte beachte was der DMARC Eintrag eigentlich bewirkt, Mails werden damit nicht signiert.

Foto
1

Danke Dir. Ich muss mir das ganze Thema nochmal genau zur Gemüte führen.


Schein, dass DKIM viel wichtiger ist.... So ganz verstehen tue ich die Unterschiede/Zusammenhänge und Abhängigkeiten von DKIM/DMARC und SPF noch nicht wirklich.

Foto
1

Danke Dir. So langsam verstehe ich das...


Also macht DMARC eigentlich auch erst dann Sinn, wenn man SPF und DKIM vernünftig gesetzt hat, oder?

Foto
1

Ja, so ist es. Übrigens finde ich die Erklärungen auf Wikipedia besser lesbar als bei msxfaq, also empfehle ich alle drei Themen auch mal bei wikipedia zu durchforsten.

SPF ist in den DNS-Daten der Absenderdomain hinterlegt, und sagt, welche Server/IP-Adressen Mails mit deinem Absender verschicken dürfen, und sagt auch, wie streng der annehmende Server es nehmen soll, wenn die Mail von einem fremden Server kommt.

DKIM heißt, dass die Mail die du abschickst, signiert wird. Der annehmende Server kann dann überprüfen, ob die Mail auch wirklich unverändert ist und von dir (also von der Absenderdomain) kommt. Es wird bei DKIM keine Aussage von der Absenderdomain getroffen, was mit einer Mail gemacht werden soll, die nicht oder falsch signiert ist. Das Signieren erfolgt mit einem asymmetrischen Schlüsselsystem (public-key-Verfahren), ähnlich wie es pgp auch macht, nur dass nicht wie bei pgp du selber in den Mailprogrammen die Mail signierst, sondern dass das signieren direkt von Server zu Server erfolgt. Der öffentliche DKIM-Schlüssel muss sich in den DNS-Daten der Absenderdomain befinden. Der private Schlüssel muss auf dem Absenderserver liegen, weil dieser die loszuschickende Mail ja signiert. Der annehmende Server gleicht nun die Mail-Signatur mit dem öffentlichen im DNS der Absenderdomain hinterlegten Schlüssel ab. DKIM trifft hierbei keine Aussage, was gemacht werden soll, wenn eine Mail nicht oder falsch signiert ist.

DMARC hilft bei letzterem. Mit DMARC kann ich als Absenderdomain eine Empfehlung abgeben, was der Annehmende Server machen soll, wenn bei SPF oder DKIM ein Fehler besteht. DMARC ist aber nicht notwendig. SPF und DKIM funktioniert auch ohne. DMARC trifft einfach zusätzlich noch eine explizite Aussage, was im Falle eines Fehlers gemacht werden soll. Daher steht bei wikipedia auch, dass DMARC auf DKIM/SPF aufbaut. DMARC ohne DKIM/SPF ist im besten Falle sinnlos, und führt im schlimmsten Fall zu Fehlern.

Wenn du SPF/DKIM/DMARC verwendest, bzw. für deine eigene Domain eingerichtet hast, heißt dass übrigens nicht, dass sich der Empfänger daran halten muss. Ne Menge Mailanbieter prüfen gar nichts, oder nur Teile, oder prüfen, und halten sich nicht an den DMARC-Vorschlag.

Und zur Erklärung noch bezüglich des obigen Vergleichs mit pgp: Die meisten verwenden pgp zum Verschlüsseln. Dann wäre mein Text vielleicht unverständlich. Pgp kann aber auch signieren, unabhängig von der Verschlüsselung, und da ist die Gemeinsamkeit zu DKIM.

Foto
1

Noch ein Nachtrag: Da ich mich nicht mit irgendwelchen Reports oder anderen Problemen rumschlagen möchte, und weil auch bei weitem nicht alle Provider DMARC oder auch nur DKIM oder zumindest SPF prüfen, ist mein DAMRC-Record wie folgt:

v=DMARC1; p=none; pct=50;

Damit bin ich meines Wissens hier bei Mailbox.org in guter Gesellschaft ;-)

Klarstellend sei bemerkt, dass ich damit keinerlei Aussage treffe, also der annehmende Server genauso klug ist wie wenn ich keinen DAMRC-Eintrag hätte. Solange sich die drei Spezifikationen nicht flächendeckend durchgesetzt haben, oder zumindest meine erstmaligen Mails beim Empfämnger einen deutlich geringeren Spam-Wert bekommen durch strengere Einträge, werde ich das nach aktuellem Stand auch nicht ändern.

Foto
1

Danke für die Infos und die Erläuterungen - jetzt habe ich es verstanden und kann es schon besser zuordnen.


Evtl. wäre das auch ein Ansatz dies in der Hilfe von Mailbox.org zu ergänzen - denke, man kann das so im Zusammenhang wirklich gut verstehen.


Im Grunde kann man bis auf DKIM dann alles auch selbst umsetzen - nur dabei ist man auf die Hilfe vom Anbieter (in dem Fall mailbox.org) angewiesen.

Foto
1

Warum hat mailbox.org eigentlich bei diesem Eintrag:

v=DMARC1; p=none; pct=50;


Die pct=50 überhaupt gesetzt? Ist das nicht egal, wenn man vorher p=none setzt? Oder habe ich das falsch verstanden?

adkim=r und aspf=r kann ich ja bedenkenlos setzen, oder?

Foto
1

Yep, ein pct=50 ist nutzlos bei der Einstellung p=none. Ob es gegen eine Regel verstößt weiß ich nicht. Als ich meinen Record gesetzt hatte dachte ich ein pct wäre obligatorisch. Dem ist allerdings nicht so. Also könnte (oder sollte?) man es weg lassen.

Adkim bzw. aspf = r ist ohnehin die Standardeinstellung, und muss daher nicht explizit gesetzt werden.

Wenn du bei großen Mailanbietern oder auch Firmen schaust, dann wirst du feststellen, dass es viele unterschiedliche Lösungen gibt. Da vermutlich alle ihre Mails zuverlässig zustellen wollen, scheint der Eintrag keine wirklich große Relevanz zu haben. Vom fehlenden DMARC-Eintrag, über p=none bis hin zu p=reject ist alles vertreten.

Foto
1

MBO empfiehlt für eigene Domains "v=DMARC1;p=none;rua=mailto:postmaster@example.com;ruf=mailto:admin@example.com" (https://kb.mailbox.org/display/MBOKB/E-Mail-Adressen+der+eigenen+Domain+nutzen).

Foto
2

Der Eintrag macht allerdings nur dann Sinn, wenn man die Reports auch auswerten möchte. Das könnte z.B. bei größeren Firmen sinnvoll sein, gerade wenn der IT langweilig ist.

Der Privatanwender, der einfach nur funktionierendes Mail haben will, kann die Reports ignorieren, und dann eigentlich auch gleich "v=DMARC1; p=none;" setzen.

Foto