daisho
SHODAN
|
Ich muss gerade ein Problem für einen Kunden lösen der scheinbar Emails mit Adressen von anderen Domains verschickt (der Kunde ist halt Service-Dienstleister von anderen Firmen und wickelt Nachrichten von diesen ab).
Klarerweise landen viele dieser Mails im Spam da Firma X natürlich nicht mit Mail-Adressen von Firma Y verschicken kann.
Meine Frage dabei, was wäre die korrekte Vorgehensweise? Es wurde nach DKIM gefragt (dass wir das in unseren Nachrichtenservice einbauen), aber soweit ich das verstehe ist das nur ein Schutz gegen Ändern der Nachricht und hat mal nichts mit der Herkunft zu tun!? Dafür wäre ja eher SPF zuständig (und DMARC dürfte einfach ein Framework sein um beides zu verbinden), allerdings wird ein SPF Check ja wohl am DNS Server für die jeweilige Domain gemacht logischerweise? D.h. "Kunde Y vom Dienstleister X" müsste in seinen DNS Records die öffentliche IP Adresse vom Dienstleister X hinterlegen damit dieser auch "als Kunde Y" verschicken darf?
Alternative die mir einfallen würde > Mails von Kunde Y (dito für alle anderen Kunden) an einen Mail-Relay Server von Kunde Y damit dieser dann die Mails öffentlich rausschickt (ist dann halt wieder ein System wovon man abhängig ist und wo etwas schief gehen kann).
Sehe ich das richtig oder übersehe ich da was?
|
COLOSSUS
AdministratorGNUltra
|
Ich verstehe die Frage nicht. Sollst du dich um die Deliverability bei beliebigen Empfaengern kuemmern, oder darum, dass Mails von einem bestimmten Absender-MTA bei euren MX nicht mehr im Spamfilter haengenbleiben? Was bedeutet "mit Adressen von anderen Domains" - im Envelope oder Header From?
An DKIM, SPF und DMARC fuehrt fuer eine akzeptable Deliverability eh kein Weg vorbei, insofern wirst du dich auch bei "alternativen" Loesungsansaetzen ggenauso damit auseinandersetzen muessen. Wenn die einzige Huerde (neben der Rekonfiguration der Sender-MTAs) das Manipulieren der DNS-Zone verschiedener Domains ist, wuerde ich mich hueten, einen extra SMTP-Hop einzufuegen, und damit vielleicht ueber Jahre akkumulierte IP-Domain-Reputation zu verlieren.
Imo: Am besten waer's, du wuerdest dieses Thema an jemanden uebergeben, dessen taeglich Brot Mail ist. Die Thematik ist zu wichtig und zu komplex, als dass man sie mal einfach nebenbei erleidgen koennte, und dann bestimmt alles in Butter ist.
|
Viper780
ModeratorEr ist tot, Jim!
|
Ich hab aus Berufswegen etwas Erfahrung damit. Im Grunde kann ich mich Colo nur anschließen, das Thema ist nicht trivial und Mails haben kein Netz und doppelten Boden. Da kann rasch was schiefgehen.
Lieber zu einem Profi der sich drum kümmert auslagern oder einen entsprechenden Admin zahlen der das einrichtet und wartet.
|
tialk
Here to stay
|
wenn wir alles andre außen vor lassen - jo die "Firmen Y's" könnten den "absender Firma X" in deren SPF inkludieren (zb. ipv4 oder include).
|
nexus_VI
Overnumerousness!
|
Die korrekteste Vorgehensweise wäre, über den Mailserver vom Kunden zu verschicken, rein imho natürlich. D.h. vom Kunden eine Mailbox anfordern, wir geben unseren Dienstleistern teilweise welche.
|
mr.nice.
differential image maker
|
Man könnte ja einen fiktiven Testkunden anlegen und mit dem experimentieren, bevor es an die echten Kunden geht, mit easydmarc.com und mxtoolbox.com solltest du schon relativ weit kommen. Dennoch würde ich auch empfehlen, einen Mailexperten an der Hand zu haben, der das schonmal eingerichtet hat, idealerweise mit der gleichen Mailserver Software mit der das dann produktiv gehen soll. Denn die Unterschiede bei Featuresets und Konfigurationen von Mailservern sind gewaltig. Ich bin froh, dass das nicht mein täglich Brot ist
Bearbeitet von mr.nice. am 06.07.2021, 13:50
|
daisho
SHODAN
|
Dass es komplex ist ist mir schon klar. Ich bin auch nicht der Admin der bei irgendwelchen Kunden da irgendwas wartet oder einrichtet. Ich möchte nur verstehen wie es genau funktioniert. Hintergrund ist das wir eine Software ausliefern die auch Mails sendet, ist natürlich historisch gewachsen und hat (noch) keinen Support für DKIM (oder SPF oder DMARC). Ich nenne unseren Kunden jetzt einfach mal "KUNDE" und den Kunden den der serviciert "COMPANY" Der KUNDE bekommt jetzt allerdings Mails abgelehnt weil COMPANY jetzt DKIM Checks durchführt (lt. eigener Aussage). Unsere Software macht allerdings selbst keine SPF checks noch schreibt die irgendeinen DKIM Header in die Mail. Es ist derzeit so dass KUNDE in gewissen Fällen mit quasi fremden SMTP Adressen (COMPANY1) schickt. Ich gehe jetzt mal im schlimmsten Fall davon aus das sowohl die Envelope als auch die MIME From: Header Adresse vom servicierten Kunden ist (genau kann ich es noch nicht sagen weil ich noch kein Trace/Log mit der Info bekommen habe) - aber das wäre Einstellbar je nachdem wie KUNDE es haben will. Ein SPF Check hätte in dem Fall allerdings nichts mit unserer Software zu tun soweit ich das verstehe - das ist rein eine Sache von COMPANY und deren DNS Server? Wie funktioniert in so einem Workflow DKIM? Der Outbound Mailserver schreibt einen DKIM Header signed mit einem private key auf unserer (KUNDE) Seite afaik. Aber wo wird dass dann geprüft, auch am DNS Server der Domain der Envelope (oder MIME Header From Adresse (sprich nicht vom eigentlichen Ursprung)? Die korrekteste Vorgehensweise wäre, über den Mailserver vom Kunden zu verschicken, rein imho natürlich. D.h. vom Kunden eine Mailbox anfordern, wir geben unseren Dienstleistern teilweise welche. Das war mein erster Vorschlag an unseren Kunden, dann gibt es nämlich keine Troubles wegen irgendwelchen komischen Konstellationen. P.S.: Vergaß zu fragen: Was passiert üblicherweise wenn Mails ohne DKIM Header reinkommen (sprich Sender der DKIM nicht kann). Die können ja nicht ernsthaft als "böse" angesehen werden - oder etwa doch?
Bearbeitet von daisho am 06.07.2021, 14:06
|
nexus_VI
Overnumerousness!
|
Ja, am DNS Server gibt es entsprechend auch einen DKIM Eintrag.
Eure Software muss dafür nix besonderes können, kann aber schon in hohem Verwaltungsaufwand resultieren.
|
Viper780
ModeratorEr ist tot, Jim!
|
Wenn es keinen dkim DNS Eintrag gibt und auch kein Header gesetzt wird passiert nicht viel (evtl wird ein Spamscore minimal erhöht) gibt's aber einen DKIM Eintrag und im Header passt der nicht dann musst froh sein wenn die Mail nicht komplett abgelehnt wird.
Ich würde in dem Fall über einen Smart Host verschicken (im Grunde ein relay der sich auch um die security kümmert)
|
Redphex
LegendRabbitOfNegativeEuphoria
|
Ich versuch das mal kurz zusammenzufassen:
- Sowohl SPF als auch DKIM dienen dazu, einem empfangenden MTA zu ermöglichen, die Vertrauenswürdigkeit einer empfangenen Mail zu verifizieren.
- Ob, und was der empfangende MTA dann mit der Information macht oder nicht macht, kann man nicht direkt beeinflussen. Man kann aber via DMARC Record im DNS von <senderdomain> Empfehlungen zur Behandlung bekannt geben.
- Über den SPF Record gibst du an, welche Server vertrauenswürdige Sender für <senderdomain> sind. Das kann auch ein Relay eines Dritten sein. Man kann auch SPF Records einer anderen Domain (z.B. des Relay-Betreibers) in seinen eingene includen.
- Bei DKIM signiert ein ausgehender Server Mailheader und Body und fügt die DKIM-Signature in den Header ein. Die beinhaltet die Hashes und notwendigen Informationen, die der Empfänger braucht, um die Signaturen zu verifizieren. Das Signieren kann auch ein Relay eines Dritten übernehmen. Es muss entsprechend einen DNS-Eintrag geben, der den passenden Public Key enthält.
|
eitschpi
alpakaflüsterer
|
Ich hab das Problem, dass meine Mails z.B. von Gmail abgelehnt werden. Das kommt in der Antwort: https://support.google.com/mail/ans...#authenticationBei meiner Domain kann ich nur die Nameserver setzen, mein Webspace liegt bei einem Freund. Da hab ich nur Zugriff auf diese Parallels-Oberfläche und kann an den Nameservern nichts ändern. Die Records müssten dann bei den Nameservern von meinem Freund gesetzt werden. Stimmt das so? /edit: Und wenn ich z.B. zu Hetzner wechsel wird das wohl schon eingestellt sein?
Bearbeitet von eitschpi am 19.06.2023, 18:56
|
userohnenamen
leider kein name
|
die nameserver sollst eh nicht ändern aber du musst eben zumindest einen SPF record setzen (lassen) dazu musst jetzt nicht unbedingt die domain umziehen wenn das dein freund für dich mit seinem zugang erledigen kann
edit: nein, im normalfall wird dir kein hoster "automatisch" einen SPF Entry setzen weil damit mehr kaputt gemacht werden kann als geholfen
|
eitschpi
alpakaflüsterer
|
Der meldet sich seit einer Weile nicht zurück, keine Ahnung warum.
Aber es gibt ja keine Alternative, außer keine Mails mehr an Gmail-Adressen zu schicken?
|
DAO
Si vis pacem, para bellum
|
zieh dein zeugs zu nem anbieter um wo du die dns records selbst verwalten kannst und richte dir die einträge im dns ein. bzw hol dir dann jemand ders für dich einrichtet.
|
eitschpi
alpakaflüsterer
|
Na das krieg ich dann wahrscheinlich eh hin, wollte nur sichergehen, dass es nicht irgendwas beim Domainanbieter ist. Danke!
|