Mailpoet.com, was bewirken die DNS Einstellungen?!

antenope
Goto Top
Hallo zusammen,
für den Newsletter Versand setzt ein Kooperationspartner auf mailpoet.com. Nun hat er mich gefragt, welche Sendemethode er denn verwenden solle. Dachte mir, kann ja kein Hexenwerk sein ... höhö ...

Eine nette Übersicht findet man hier: https://kb.mailpoet.com/article/181-comparison-table-of-sending-methods
"Your host", "Thrid party" und "Host's SMTP" sind soweit klar. Läuft dann über eigene Server in welcher Form auch immer.
Die Option "MailPoet" hingegen versendet über deren Server und man ist eigentlich fein raus. In Zeiten von SPF und DKIM können die aber natürlich nicht einfach im Namen einer fremden Domain verschicken ...

Das ist dann alles mehr oder weniger gut hier beschrieben: https://kb.mailpoet.com/article/295-spf-and-dkim
Die passenden DNS-Einträge werden dann hier erläutert: https://kb.mailpoet.com/article/188-how-to-set-up-mailpoet-sending-servi ...

Im Kern wollen die folgende Einträge:

  • cname: mailpoet1._domainkey.meinedomain.de = dkim1.sendingservice.net
  • cname: mailpoet2._domainkey.meinedomain.de = dkim2.sendingservice.net
  • txt: _mailpoet = 1234567890abcdef

Und was bringt das nun? Ich dachte die würden dann über eine Subdomain senden die auf deren Server (dkim*.sendingservice.net) zeigt und dort die SPF und DKIM-Einträge setzten. Nur sind dort keine SPF-Einträge vorhanden.

Für sendingservice.net existiert einer und zeigt auf spf.sendingservice.net welcher wiederum zig Server auflistet. Soweit so gut.
Aber nirgendwo wird erwähnt, dass ich diese per include irgendwo bei den eigenen DNS-Einträgen hinzufügen soll.

Soll heißen, wenn "v=spf1 mx -all" bei der eigenen Domain gesetzt ist und die im Namen meiner Domain versenden wollen, klatscht das vor die Wand.

Mir erschließt sich absolut nicht was die damit bezwecken wollen?! Kann jemand bitte etwas Licht ins Dunkel bringen?

Content-Key: 1835261550

Url: https://administrator.de/contentid/1835261550

Ausgedruckt am: 11.08.2022 um 18:08 Uhr

Mitglied: LordGurke
Lösung LordGurke 05.02.2022 aktualisiert um 15:59:11 Uhr
Goto Top
Wenn ich in der Identität deiner Domain Mails versenden will, muss das irgendwie autorisiert werden.
Entweder per DKIM (dafür sollst du die DNS-Einträge anlegen) oder per SPF.
Es reicht übrigens normalerweise, wenn der Absender ENTWEDER über SPF autorisiert wird ODER per DKIM. Man kann das über einen DMARC-Record strenger handhaben lassen, das ist aber selten zu empfehlen.
Im Gegensatz zu SPF ist das aber zum einen leichter zu pflegen resp. geht weniger leicht kaputt, wenn Leute (beispielsweise von Microsoft) gesagt bekommen: "Hier, ersetzen Sie mal den SPF-Record mit dem hier".
Außerdem geht es bei Weiterleitungen nicht kaputt, was ein inhärentes Problem von SPF ist.

Aufgrund der vielen Probleme, die mit SPF einhergehen, ist DKIM die bessere Wahl.
Dabei werden bestimmte Mailheader (i.d.R. From, To, Subject, Message-ID, Date) kryptographisch mit einem auf dem Mailserver des Absenders liegenden privaten Schlüssel signiert. Diese Signatur wird dann als DKIM:-Header in die E-Mail geschrieben. Jeder DKIM-Header enthält auch einen Namen, den "Selektor". Wenn du mehrere Server und damit eventuell mehrere private Schlüssel hast, kannst du das darüber unterscheiden.
Falls du also auf deinem Mailserver eines Tages DKIM-Signaturen setzt, kannst du deinen eigenen öffentlichen Schlüssel unter dem Namen deines Selektors einfach hinzufügen.

Der empfangende Server kann jetzt prüfen, ob du als Domainverwalter dem einliefernden Server von Mailpoet erlaubst, E-Mails unter deiner Identität zu versenden.
Dafür nimmt er den Selektor aus der Signatur und fragt den Standardisierten DNS-Namen "<selektor>._domainkey.deinedomain.tld" ab, - der Selektor wird in deinem Fall also "mailpoet1" heißen.
Darüber erhät der empfangende Server den öffentlichen DKIM-Schlüssel des sendenden Servers und kann darüber die DKIM-Signatur validieren.

Das Vorhandensein einer gültigen, unveränderten und verifizierbaren DKIM-Signatur beweist damit, dass ein von dir autorisierter Server die E-Mail eingeliefert hat und ist damit gleichzusetzen, als wenn das über SPF-Includes autorisiert wurde (eigentlich ist es sogar besser).
Mitglied: PeterGyger
PeterGyger 05.02.2022 um 18:55:11 Uhr
Goto Top
Mitglied: anteNope
anteNope 06.02.2022 um 09:29:44 Uhr
Goto Top
Dafür nimmt er den Selektor aus der Signatur und fragt den Standardisierten DNS-Namen "<selektor>._domainkey.deinedomain.tld" ab, - der Selektor wird in deinem Fall also "mailpoet1" heißen. Darüber erhät der empfangende Server den öffentlichen DKIM-Schlüssel des sendenden Servers und kann darüber die DKIM-Signatur validieren.

Alles klar, man kann dann halt mehrere Domain-Keys, also Einträge haben und das Ganze ist übersichtlicher als bei SPF, wo es ja nur ein zusammengebauter Eintrag wäre.

Das Vorhandensein einer gültigen, unveränderten und verifizierbaren DKIM-Signatur beweist damit, dass ein von dir autorisierter Server die E-Mail eingeliefert hat und ist damit gleichzusetzen, als wenn das über SPF-Includes autorisiert wurde (eigentlich ist es sogar besser).

Hier war mein Verständnisfehler. Ich dachte SPF regelt alleinig die autorisierten Server und DKIM wäre dann nur für die Unveränderbarkeit des Inhalts zuständig bzw. verwendet.

Danke für diesen wertvollen Hinweis. Man lernt halt nie aus 😉😅