gileraracer
Goto Top

DKIM Setup - Verständnisfrage

Guten Tag,

wir nutzen eine Maildomäne zum Versand diverser automatisierter Mails aus unterschiedlichen Tools. Dabei kommt von einem neuen Tool die Anforderung, dass DKIM konfiguriert sein muss.

Ich habe die Umgebung von einem ehemaligen Administrator übernommen, aktuell ist nur ein gültiger SPF Eintrag konfiguriert aber kein DKIM.

Da wir im Bereich KMU angesiedelt sind gibt es nicht für jeden Bereich einen Spezialist, weshalb ich mich aktuell in den Bereich DKIM einlese.

Folgendes habe ich bisher verstanden:

Für DKIM wird ein private / public Key pair generiert. der Public Key wird via DNS publiziert, der private Key wird am Mailserver hinterlegt.
Der Mailserver signiert nun ausgehende Mails mit Hilfe des private keys und der Empfänger kann an Hand des public Key DNS Eintrags validieren, ob die absender Domain stimmt.


So nun habe ich eine Frage dazu:

Die mails werden von unterschiedlichen Mailservern versendet, die via SPF auch bereits "authorisiert" sind. Was passiert nun, wenn ich DKIM DNS Einträge für die Domain setze aber nur auf einem Mailserver DKIM konfiguriere? Beispielweise weil ein anderer Mailserver dies nicht unterstützt?
Beeinflusst das den Mailversand der anderen Mailserver, auf denen DKIM noch nicht konfiguriert ist oder funktioniert es bei diesen weiterhin, halt eben mit (wie bisher) weniger Sicherheit?


Danke im Voraus für eure Unterstützung,

GIL

Content-Key: 615181

Url: https://administrator.de/contentid/615181

Printed on: April 13, 2024 at 12:04 o'clock

Member: sabines
sabines Oct 22, 2020 updated at 09:30:43 (UTC)
Goto Top
Moin,

verstehe ich Dich richtig und Du nutzt nur eine Domain hast aber lokal mehrere Mailserver?
Welche Server sind das? Exchange?

Hast oder nutzt Du noch eine zusätzliche Mail Appliance oder so?

Und generell erhöhst Du die Mailsicherheit dadurch enorm, d.h. Du solltest alle Server damit ausrüsten, wenn es einzelne nicht schaffen, dann sind die i.d.R. so alt, dass da ohnehin Update- oder Migrationsbedarf besteht.

Bei Exchange wird dazu geraten alle vorhandenen Server damit auszurüsten. Gute Anleitung hierzu findest Du bei Frank:
https://www.frankysweb.de/exchange-server-und-dkim/

Gruss
Member: wiesi200
wiesi200 Oct 22, 2020 at 10:38:52 (UTC)
Goto Top
Hallo,

man müsste jetzt das genaue Umfeld kennen aber ich schließe mich jetzt @sabines an.

Ich würde ein Gateway davor hängen und diesen und alle Emails da drüber leiten und entsprechend Signieren.
Member: Gileraracer
Gileraracer Oct 22, 2020 at 11:54:32 (UTC)
Goto Top
Hallo und danke euch beiden!


generell ist es so, dass über diese Mail Domain (sagen wir @klabauter.tv) Mails aus diversen unterschiedlichen (teils Cloud-)applikationen verschickt werden.

So verschickt z.B das ERP als kunde@klabauter.tv via smtp.klabauter.tv und gleichzeitig verschickt das CRM als info@klabauter.tv von einem eigenen Mailserver.

Es sind also unterschiedliche Mailserver Systeme - wir wollen selbstverständlich alle mit DKIM nachrüsten. Der CRM Anbieter gibt aber vor, dass er nurnoch Mailversand macht, wenn wir DKIM einrichten und der Mailserver, den das ERP nutzt, kann dies nicht.

Daher meine Frage ob es Probleme macht, wenn wir die DNS Settings hinterlegen aber nur den Mailserver des CRM entsprechend konfigurieren. Worst case wäre, wenn dann der Mailversand aus ERP nichtmehr funktioniert.

LG
GIL
Member: wiesi200
wiesi200 Oct 22, 2020 at 12:02:25 (UTC)
Goto Top
Pack ein Gateway davor.

https://rspamd.com
als Vorschlag.
Sag allen Diensten die sollen da drüber schicken. Der übernimmt die Signatur und alles ist gut.
Member: Dani
Dani Oct 22, 2020 at 16:08:57 (UTC)
Goto Top
Moin,
Sag allen Diensten die sollen da drüber schicken. Der übernimmt die Signatur und alles ist gut.
das ist der Beste weg. Alles andere wird dir mittelfristig um die Ohren fliegen und mehr Probleme als Freude bereiten.


Gruß,
Dani
Member: filippg
Solution filippg Oct 22, 2020 at 23:04:19 (UTC)
Goto Top
Hallo,

dann will ich mal versuchen, auf die Frage zu Antworten, und nicht irgendwelche anderen schlauen Ratschläge zu verteilen...

Wenn ein Teil der Mailserver DKIM nutzt, dann sollte der Versand bei denen, die es nicht tun, genau so weiter funktionieren. Diese sollten also kein schlechteres Spam-Ranking o.ä. erhalten.
Warum?
DKIM versteht sich nicht als Anti-Spam-Technik, sondern aus Authentifizierungsmechanismus - anders als z.B. SPF. Wenn man DKIM und Anti-Spam kombinieren will, dann kommt DMARC ins Spiel, das verbindet beide.

Wenn ein Empfänger eine nicht-DKIM-signierte Mail bekommt, dann kann der Empfänger m.E. gar nicht zuverlässig prüfen, ob andere Mails von der Domain mit DKIM geschickt werden! Die DKIM-Keys liegen zwar im DNS, aber er kennt ihren Namen nicht. Dieser steht nur im Header von DKIM-signieren Mails (Selector).

Grüße

Filipp
Member: Gileraracer
Gileraracer Oct 26, 2020 at 15:30:11 (UTC)
Goto Top
Hallo an alle,

ich bin natürlich Dankbar für Verbesserungsvorschläge, nur lassen sich diese nicht so einfach von jetzt auf gleich umsetzen. Daher auch speziellen Dank an filippg, der die grundsätzliche Frage versucht hat zu beantworten.

Ich werde auf jeden Fall die gateway Variante so einbringen um das Ganze in einem zweiten Schritt technisch sauber zu lösen.


Danke nochmals an alle Antwortenden.

LG
GIL