7
DKIM Setup - Verständnisfrage
Guten Tag,
wir nutzen eine Maildomäne zum Versand diverser automatisierter Mails aus unterschiedlichen Tools. Dabei kommt von einem neuen Tool die Anforderung, dass DKIM konfiguriert sein muss.
Ich habe die Umgebung von einem ehemaligen Administrator übernommen, aktuell ist nur ein gültiger SPF Eintrag konfiguriert aber kein DKIM.
Da wir im Bereich KMU angesiedelt sind gibt es nicht für jeden Bereich einen Spezialist, weshalb ich mich aktuell in den Bereich DKIM einlese.
Folgendes habe ich bisher verstanden:
Für DKIM wird ein private / public Key pair generiert. der Public Key wird via DNS publiziert, der private Key wird am Mailserver hinterlegt.
Der Mailserver signiert nun ausgehende Mails mit Hilfe des private keys und der Empfänger kann an Hand des public Key DNS Eintrags validieren, ob die absender Domain stimmt.
So nun habe ich eine Frage dazu:
Die mails werden von unterschiedlichen Mailservern versendet, die via SPF auch bereits "authorisiert" sind. Was passiert nun, wenn ich DKIM DNS Einträge für die Domain setze aber nur auf einem Mailserver DKIM konfiguriere? Beispielweise weil ein anderer Mailserver dies nicht unterstützt?
Beeinflusst das den Mailversand der anderen Mailserver, auf denen DKIM noch nicht konfiguriert ist oder funktioniert es bei diesen weiterhin, halt eben mit (wie bisher) weniger Sicherheit?
Danke im Voraus für eure Unterstützung,
GIL
wir nutzen eine Maildomäne zum Versand diverser automatisierter Mails aus unterschiedlichen Tools. Dabei kommt von einem neuen Tool die Anforderung, dass DKIM konfiguriert sein muss.
Ich habe die Umgebung von einem ehemaligen Administrator übernommen, aktuell ist nur ein gültiger SPF Eintrag konfiguriert aber kein DKIM.
Da wir im Bereich KMU angesiedelt sind gibt es nicht für jeden Bereich einen Spezialist, weshalb ich mich aktuell in den Bereich DKIM einlese.
Folgendes habe ich bisher verstanden:
Für DKIM wird ein private / public Key pair generiert. der Public Key wird via DNS publiziert, der private Key wird am Mailserver hinterlegt.
Der Mailserver signiert nun ausgehende Mails mit Hilfe des private keys und der Empfänger kann an Hand des public Key DNS Eintrags validieren, ob die absender Domain stimmt.
So nun habe ich eine Frage dazu:
Die mails werden von unterschiedlichen Mailservern versendet, die via SPF auch bereits "authorisiert" sind. Was passiert nun, wenn ich DKIM DNS Einträge für die Domain setze aber nur auf einem Mailserver DKIM konfiguriere? Beispielweise weil ein anderer Mailserver dies nicht unterstützt?
Beeinflusst das den Mailversand der anderen Mailserver, auf denen DKIM noch nicht konfiguriert ist oder funktioniert es bei diesen weiterhin, halt eben mit (wie bisher) weniger Sicherheit?
Danke im Voraus für eure Unterstützung,
GIL
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 615181
Url: https://administrator.de/contentid/615181
Printed on: May 4, 2024 at 00:05 o'clock
7 Comments
Latest comment
Moin,
verstehe ich Dich richtig und Du nutzt nur eine Domain hast aber lokal mehrere Mailserver?
Welche Server sind das? Exchange?
Hast oder nutzt Du noch eine zusätzliche Mail Appliance oder so?
Und generell erhöhst Du die Mailsicherheit dadurch enorm, d.h. Du solltest alle Server damit ausrüsten, wenn es einzelne nicht schaffen, dann sind die i.d.R. so alt, dass da ohnehin Update- oder Migrationsbedarf besteht.
Bei Exchange wird dazu geraten alle vorhandenen Server damit auszurüsten. Gute Anleitung hierzu findest Du bei Frank:
https://www.frankysweb.de/exchange-server-und-dkim/
Gruss
verstehe ich Dich richtig und Du nutzt nur eine Domain hast aber lokal mehrere Mailserver?
Welche Server sind das? Exchange?
Hast oder nutzt Du noch eine zusätzliche Mail Appliance oder so?
Und generell erhöhst Du die Mailsicherheit dadurch enorm, d.h. Du solltest alle Server damit ausrüsten, wenn es einzelne nicht schaffen, dann sind die i.d.R. so alt, dass da ohnehin Update- oder Migrationsbedarf besteht.
Bei Exchange wird dazu geraten alle vorhandenen Server damit auszurüsten. Gute Anleitung hierzu findest Du bei Frank:
https://www.frankysweb.de/exchange-server-und-dkim/
Gruss
Hallo,
man müsste jetzt das genaue Umfeld kennen aber ich schließe mich jetzt @sabines an.
Ich würde ein Gateway davor hängen und diesen und alle Emails da drüber leiten und entsprechend Signieren.
man müsste jetzt das genaue Umfeld kennen aber ich schließe mich jetzt @sabines an.
Ich würde ein Gateway davor hängen und diesen und alle Emails da drüber leiten und entsprechend Signieren.
Hallo und danke euch beiden!
generell ist es so, dass über diese Mail Domain (sagen wir @klabauter.tv) Mails aus diversen unterschiedlichen (teils Cloud-)applikationen verschickt werden.
So verschickt z.B das ERP als kunde@klabauter.tv via smtp.klabauter.tv und gleichzeitig verschickt das CRM als info@klabauter.tv von einem eigenen Mailserver.
Es sind also unterschiedliche Mailserver Systeme - wir wollen selbstverständlich alle mit DKIM nachrüsten. Der CRM Anbieter gibt aber vor, dass er nurnoch Mailversand macht, wenn wir DKIM einrichten und der Mailserver, den das ERP nutzt, kann dies nicht.
Daher meine Frage ob es Probleme macht, wenn wir die DNS Settings hinterlegen aber nur den Mailserver des CRM entsprechend konfigurieren. Worst case wäre, wenn dann der Mailversand aus ERP nichtmehr funktioniert.
LG
GIL
generell ist es so, dass über diese Mail Domain (sagen wir @klabauter.tv) Mails aus diversen unterschiedlichen (teils Cloud-)applikationen verschickt werden.
So verschickt z.B das ERP als kunde@klabauter.tv via smtp.klabauter.tv und gleichzeitig verschickt das CRM als info@klabauter.tv von einem eigenen Mailserver.
Es sind also unterschiedliche Mailserver Systeme - wir wollen selbstverständlich alle mit DKIM nachrüsten. Der CRM Anbieter gibt aber vor, dass er nurnoch Mailversand macht, wenn wir DKIM einrichten und der Mailserver, den das ERP nutzt, kann dies nicht.
Daher meine Frage ob es Probleme macht, wenn wir die DNS Settings hinterlegen aber nur den Mailserver des CRM entsprechend konfigurieren. Worst case wäre, wenn dann der Mailversand aus ERP nichtmehr funktioniert.
LG
GIL
Pack ein Gateway davor.
https://rspamd.com
als Vorschlag.
Sag allen Diensten die sollen da drüber schicken. Der übernimmt die Signatur und alles ist gut.
https://rspamd.com
als Vorschlag.
Sag allen Diensten die sollen da drüber schicken. Der übernimmt die Signatur und alles ist gut.
Moin,
Gruß,
Dani
Sag allen Diensten die sollen da drüber schicken. Der übernimmt die Signatur und alles ist gut.
das ist der Beste weg. Alles andere wird dir mittelfristig um die Ohren fliegen und mehr Probleme als Freude bereiten.Gruß,
Dani
Hallo,
dann will ich mal versuchen, auf die Frage zu Antworten, und nicht irgendwelche anderen schlauen Ratschläge zu verteilen...
Wenn ein Teil der Mailserver DKIM nutzt, dann sollte der Versand bei denen, die es nicht tun, genau so weiter funktionieren. Diese sollten also kein schlechteres Spam-Ranking o.ä. erhalten.
Warum?
DKIM versteht sich nicht als Anti-Spam-Technik, sondern aus Authentifizierungsmechanismus - anders als z.B. SPF. Wenn man DKIM und Anti-Spam kombinieren will, dann kommt DMARC ins Spiel, das verbindet beide.
Wenn ein Empfänger eine nicht-DKIM-signierte Mail bekommt, dann kann der Empfänger m.E. gar nicht zuverlässig prüfen, ob andere Mails von der Domain mit DKIM geschickt werden! Die DKIM-Keys liegen zwar im DNS, aber er kennt ihren Namen nicht. Dieser steht nur im Header von DKIM-signieren Mails (Selector).
Grüße
Filipp
dann will ich mal versuchen, auf die Frage zu Antworten, und nicht irgendwelche anderen schlauen Ratschläge zu verteilen...
Wenn ein Teil der Mailserver DKIM nutzt, dann sollte der Versand bei denen, die es nicht tun, genau so weiter funktionieren. Diese sollten also kein schlechteres Spam-Ranking o.ä. erhalten.
Warum?
DKIM versteht sich nicht als Anti-Spam-Technik, sondern aus Authentifizierungsmechanismus - anders als z.B. SPF. Wenn man DKIM und Anti-Spam kombinieren will, dann kommt DMARC ins Spiel, das verbindet beide.
Wenn ein Empfänger eine nicht-DKIM-signierte Mail bekommt, dann kann der Empfänger m.E. gar nicht zuverlässig prüfen, ob andere Mails von der Domain mit DKIM geschickt werden! Die DKIM-Keys liegen zwar im DNS, aber er kennt ihren Namen nicht. Dieser steht nur im Header von DKIM-signieren Mails (Selector).
Grüße
Filipp
Hallo an alle,
ich bin natürlich Dankbar für Verbesserungsvorschläge, nur lassen sich diese nicht so einfach von jetzt auf gleich umsetzen. Daher auch speziellen Dank an filippg, der die grundsätzliche Frage versucht hat zu beantworten.
Ich werde auf jeden Fall die gateway Variante so einbringen um das Ganze in einem zweiten Schritt technisch sauber zu lösen.
Danke nochmals an alle Antwortenden.
LG
GIL
ich bin natürlich Dankbar für Verbesserungsvorschläge, nur lassen sich diese nicht so einfach von jetzt auf gleich umsetzen. Daher auch speziellen Dank an filippg, der die grundsätzliche Frage versucht hat zu beantworten.
Ich werde auf jeden Fall die gateway Variante so einbringen um das Ganze in einem zweiten Schritt technisch sauber zu lösen.
Danke nochmals an alle Antwortenden.
LG
GIL
