dns Zonendatei mit SPF, DKIM
Norbert Gerhards
n.gerhards at ib-gerhards.de
Do Jan 19 17:33:43 CET 2023
Moin Max,
vielen Dank fürs Reinschauen und die zusätzlichen Anregungen
und Kommentare.
Die Kundensituation ist aus meiner Sicht herausfordernd:
Der Mailserver ist ein Exchange on-premises. :-(
Der (Master-)Nameserver steht auch beim Kunden und läuft
stabil unter debian-8(!) mit einem bind9. Leicht veraltet. ;-/
[Deshalb wollte ich jemand mit Ahnung auf die von mir modifizierte
Zonendatei schauen lassen.
Ist z. B. das '@' in Zeilen mit 'IN TXT' auch richtig?]
Aber: Er hat ne aktuelle SecurePoint Firewall UTM, und die kann
für ausgehende Mail DKIM draufpacken. ;-)
[Deshalb lasse ich den'selector_mit_Datum' drin, sonst erkennt
die UTM ihr eigenes Konstrukt nicht mehr!]
Ich bin also bei diesem Kunden fast komplett ausserhalb meiner
Linux/Postfix/Dovecot-Komfortzone und muss mich am Machbaren
orientieren; also kein SA/Amavis, policyd, rspamd...
Und mein Kunde hat genau einen (1) Kunden, der seine Mails nicht
annimmt, weil SPF und/oder DKIM fehlten (eine US-Kanzlei).
Tja, es gibt schon interessante Aufgaben.
Nochmals herzlichen Dank für die Hilfe,
Norbert
Am 19.01.2023 um 16:42 schrieb Max Grobecker via Postfixbuch-users:
> Moin,
>
>
> Am 19.01.2023 um 13:46 schrieb Norbert Gerhards:
>
>> Könnte ein Kundiger bitte mal die Syntax für die beiden
>> Einträge checken?
>
> Sieht syntaktisch auf den ersten Blick korrekt aus. Es kann - abhängig
> vom DNS-Server - sein, dass du Semikolon mit Backslash escapen musst,
> aber das wäre das einzige.
>
> Als Tipp: Ich verwende mittlerweile bei neuen Setups Selektoren, die
> nicht mit dem Datum benannt sind sondern einen fixen Namen haben, der
> sich später nicht ändern wird.
> Man kann problemlos mehrere Keys unter dem selben Namen anlegen und so
> einen Key-Rollover durchführen, indem man ein paar Wochen lang die neuen
> und alten Schlüssel parallel im DNS lässt.
> Allerdings hat es den Vorteil, dass man, wenn man weitere Domains oder
> auch Subdomains mit dem selben Selektor betreiben will, einfach per
> CNAME auf den statischen Namen verweisen kann.
>
>
>> Und: Ich meine mich aus Peers Postfixbuch dumpf zu erinnern,
>> dass er das -all im SPF elegant wieder mit ?all ausgehebelt
>> hatte, um Weiterleitungen über andere Provider etc. zu ermöglichen.
>> Ist dies noch Stand des (SPF-)Wissens?
>
> Ich benutze gerne "~all" und verwende SPF als reine Whitelist.
> Neben DKIM habe ich DMARC-Records eingerichtet, um darüber zu steuern
> was mit unautorisierten Mails passieren soll.
> Das kann man auch Anfangs sehr gut zum Monitoring nehmen, ob es weitere
> legitime Server gibt, die der Kunde nicht auf dem Schirm hat.
>
> Ein DMARC-Record zum Testen sähe dann z.B. so aus:
>
> ---------------------------------------------
> @ IN TXT "v=DMARC1; p=none; sp=none; pct=100;
> adkim=r; aspf=r; rua=mailto:dmarc-reports at deinedomain.tld; ri=86400;
> fo=0:1:d:s;"
> ---------------------------------------------
>
> Du erhältst dann an dmarc-reports at deinedomain.tld E-Mails mit Reports,
> von welchen IP-Adressen E-Mails unter der Domain empfangen wurden und ob
> SPF/DKIM gültig war.
> Darüber kannst du dann später auch die Policy festlegen, was mit
> unautorisierten E-Mails passieren soll. Das funktioniert deutlich besser
> als "-all" bei SPF.
> Wichtig: Die Mailadresse muss unter der selben Domain liegen. Wenn
> E-Mails an eine Adresse unter einer abweichenden Domain gesendet werden
> sollen, muss das in der DNS-Zone der Empfängerdomain durch entsprechende
> Einträge autorisiert werden - für den Anfang wäre es also einfacher, die
> RUA-Mailadresse unter der selben Domain anzulegen :-)
>
>
> Viele Grüße
> Max
Mehr Informationen über die Mailingliste Postfixbuch-users