"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

SPF/DKIM/DMARC

daisho 06.07.2021 - 08:48 5999 27
Posts

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19689
Ich muss gerade ein Problem für einen Kunden lösen der scheinbar Emails mit Adressen von anderen Domains verschickt (der Kunde ist halt Service-Dienstleister von anderen Firmen und wickelt Nachrichten von diesen ab).

Klarerweise landen viele dieser Mails im Spam da Firma X natürlich nicht mit Mail-Adressen von Firma Y verschicken kann.

Meine Frage dabei, was wäre die korrekte Vorgehensweise?
Es wurde nach DKIM gefragt (dass wir das in unseren Nachrichtenservice einbauen), aber soweit ich das verstehe ist das nur ein Schutz gegen Ändern der Nachricht und hat mal nichts mit der Herkunft zu tun!?
Dafür wäre ja eher SPF zuständig (und DMARC dürfte einfach ein Framework sein um beides zu verbinden), allerdings wird ein SPF Check ja wohl am DNS Server für die jeweilige Domain gemacht logischerweise? D.h. "Kunde Y vom Dienstleister X" müsste in seinen DNS Records die öffentliche IP Adresse vom Dienstleister X hinterlegen damit dieser auch "als Kunde Y" verschicken darf?

Alternative die mir einfallen würde > Mails von Kunde Y (dito für alle anderen Kunden) an einen Mail-Relay Server von Kunde Y damit dieser dann die Mails öffentlich rausschickt (ist dann halt wieder ein System wovon man abhängig ist und wo etwas schief gehen kann).

Sehe ich das richtig oder übersehe ich da was?

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12070
Ich verstehe die Frage nicht. Sollst du dich um die Deliverability bei beliebigen Empfaengern kuemmern, oder darum, dass Mails von einem bestimmten Absender-MTA bei euren MX nicht mehr im Spamfilter haengenbleiben? Was bedeutet "mit Adressen von anderen Domains" - im Envelope oder Header From?


An DKIM, SPF und DMARC fuehrt fuer eine akzeptable Deliverability eh kein Weg vorbei, insofern wirst du dich auch bei "alternativen" Loesungsansaetzen ggenauso damit auseinandersetzen muessen. Wenn die einzige Huerde (neben der Rekonfiguration der Sender-MTAs) das Manipulieren der DNS-Zone verschiedener Domains ist, wuerde ich mich hueten, einen extra SMTP-Hop einzufuegen, und damit vielleicht ueber Jahre akkumulierte IP-Domain-Reputation zu verlieren.


Imo: Am besten waer's, du wuerdest dieses Thema an jemanden uebergeben, dessen taeglich Brot Mail ist. Die Thematik ist zu wichtig und zu komplex, als dass man sie mal einfach nebenbei erleidgen koennte, und dann bestimmt alles in Butter ist.

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 49966
Ich hab aus Berufswegen etwas Erfahrung damit.
Im Grunde kann ich mich Colo nur anschließen, das Thema ist nicht trivial und Mails haben kein Netz und doppelten Boden. Da kann rasch was schiefgehen.

Lieber zu einem Profi der sich drum kümmert auslagern oder einen entsprechenden Admin zahlen der das einrichtet und wartet.

tialk

Here to stay
Avatar
Registered: May 2002
Location: vo/stmk
Posts: 3281
wenn wir alles andre außen vor lassen - jo die "Firmen Y's" könnten den "absender Firma X" in deren SPF inkludieren (zb. ipv4 oder include).

nexus_VI

Overnumerousness!
Avatar
Registered: Aug 2006
Location: südstadt
Posts: 3748
Die korrekteste Vorgehensweise wäre, über den Mailserver vom Kunden zu verschicken, rein imho natürlich. D.h. vom Kunden eine Mailbox anfordern, wir geben unseren Dienstleistern teilweise welche.

mr.nice.

differential image maker
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6458
Man könnte ja einen fiktiven Testkunden anlegen und mit dem experimentieren, bevor es an die echten Kunden geht,
mit easydmarc.com und mxtoolbox.com solltest du schon relativ weit kommen.

Dennoch würde ich auch empfehlen, einen Mailexperten an der Hand zu haben, der das schonmal eingerichtet hat, idealerweise mit der gleichen Mailserver Software mit der das dann produktiv gehen soll.
Denn die Unterschiede bei Featuresets und Konfigurationen von Mailservern sind gewaltig. Ich bin froh, dass das nicht mein täglich Brot ist :D
Bearbeitet von mr.nice. am 06.07.2021, 13:50

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19689
Dass es komplex ist ist mir schon klar. Ich bin auch nicht der Admin der bei irgendwelchen Kunden da irgendwas wartet oder einrichtet.

Ich möchte nur verstehen wie es genau funktioniert.

Hintergrund ist das wir eine Software ausliefern die auch Mails sendet, ist natürlich historisch gewachsen und hat (noch) keinen Support für DKIM (oder SPF oder DMARC).


Ich nenne unseren Kunden jetzt einfach mal "KUNDE"
und den Kunden den der serviciert "COMPANY"

Der KUNDE bekommt jetzt allerdings Mails abgelehnt weil COMPANY jetzt DKIM Checks durchführt (lt. eigener Aussage).
Unsere Software macht allerdings selbst keine SPF checks noch schreibt die irgendeinen DKIM Header in die Mail.

Es ist derzeit so dass KUNDE in gewissen Fällen mit quasi fremden SMTP Adressen (COMPANY1) schickt.
Ich gehe jetzt mal im schlimmsten Fall davon aus das sowohl die Envelope als auch die MIME From: Header Adresse vom servicierten Kunden ist (genau kann ich es noch nicht sagen weil ich noch kein Trace/Log mit der Info bekommen habe) - aber das wäre Einstellbar je nachdem wie KUNDE es haben will.

Ein SPF Check hätte in dem Fall allerdings nichts mit unserer Software zu tun soweit ich das verstehe - das ist rein eine Sache von COMPANY und deren DNS Server?

Wie funktioniert in so einem Workflow DKIM?
Der Outbound Mailserver schreibt einen DKIM Header signed mit einem private key auf unserer (KUNDE) Seite afaik.
Aber wo wird dass dann geprüft, auch am DNS Server der Domain der Envelope (oder MIME Header From:) Adresse (sprich nicht vom eigentlichen Ursprung)?

Zitat aus einem Post von nexus_VI
Die korrekteste Vorgehensweise wäre, über den Mailserver vom Kunden zu verschicken, rein imho natürlich. D.h. vom Kunden eine Mailbox anfordern, wir geben unseren Dienstleistern teilweise welche.
Das war mein erster Vorschlag an unseren Kunden, dann gibt es nämlich keine Troubles wegen irgendwelchen komischen Konstellationen.



P.S.: Vergaß zu fragen: Was passiert üblicherweise wenn Mails ohne DKIM Header reinkommen (sprich Sender der DKIM nicht kann). Die können ja nicht ernsthaft als "böse" angesehen werden - oder etwa doch?
Bearbeitet von daisho am 06.07.2021, 14:06

nexus_VI

Overnumerousness!
Avatar
Registered: Aug 2006
Location: südstadt
Posts: 3748
Ja, am DNS Server gibt es entsprechend auch einen DKIM Eintrag.

Eure Software muss dafür nix besonderes können, kann aber schon in hohem Verwaltungsaufwand resultieren.

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 49966
Wenn es keinen dkim DNS Eintrag gibt und auch kein Header gesetzt wird passiert nicht viel (evtl wird ein Spamscore minimal erhöht) gibt's aber einen DKIM Eintrag und im Header passt der nicht dann musst froh sein wenn die Mail nicht komplett abgelehnt wird.

Ich würde in dem Fall über einen Smart Host verschicken (im Grunde ein relay der sich auch um die security kümmert)

Redphex

Legend
RabbitOfNegativeEuphoria
Avatar
Registered: Mar 2000
Location: Kadaverstern
Posts: 11812
Ich versuch das mal kurz zusammenzufassen:

- Sowohl SPF als auch DKIM dienen dazu, einem empfangenden MTA zu ermöglichen, die Vertrauenswürdigkeit einer empfangenen Mail zu verifizieren.

- Ob, und was der empfangende MTA dann mit der Information macht oder nicht macht, kann man nicht direkt beeinflussen. Man kann aber via DMARC Record im DNS von <senderdomain> Empfehlungen zur Behandlung bekannt geben.

- Über den SPF Record gibst du an, welche Server vertrauenswürdige Sender für <senderdomain> sind. Das kann auch ein Relay eines Dritten sein. Man kann auch SPF Records einer anderen Domain (z.B. des Relay-Betreibers) in seinen eingene includen.

- Bei DKIM signiert ein ausgehender Server Mailheader und Body und fügt die DKIM-Signature in den Header ein. Die beinhaltet die Hashes und notwendigen Informationen, die der Empfänger braucht, um die Signaturen zu verifizieren. Das Signieren kann auch ein Relay eines Dritten übernehmen.
Es muss entsprechend einen DNS-Eintrag geben, der den passenden Public Key enthält.

eitschpi

alpakaflüsterer
Registered: Dec 2004
Location: eierbärhausen
Posts: 4386
Ich hab das Problem, dass meine Mails z.B. von Gmail abgelehnt werden. Das kommt in der Antwort: https://support.google.com/mail/ans...#authentication

Bei meiner Domain kann ich nur die Nameserver setzen, mein Webspace liegt bei einem Freund. Da hab ich nur Zugriff auf diese Parallels-Oberfläche und kann an den Nameservern nichts ändern. Die Records müssten dann bei den Nameservern von meinem Freund gesetzt werden. Stimmt das so?

/edit: Und wenn ich z.B. zu Hetzner wechsel wird das wohl schon eingestellt sein?
Bearbeitet von eitschpi am 19.06.2023, 18:56

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15858
die nameserver sollst eh nicht ändern aber du musst eben zumindest einen SPF record setzen (lassen)
dazu musst jetzt nicht unbedingt die domain umziehen wenn das dein freund für dich mit seinem zugang erledigen kann

edit: nein, im normalfall wird dir kein hoster "automatisch" einen SPF Entry setzen weil damit mehr kaputt gemacht werden kann als geholfen

eitschpi

alpakaflüsterer
Registered: Dec 2004
Location: eierbärhausen
Posts: 4386
Der meldet sich seit einer Weile nicht zurück, keine Ahnung warum.

Aber es gibt ja keine Alternative, außer keine Mails mehr an Gmail-Adressen zu schicken?

DAO

Si vis pacem, para bellum
Avatar
Registered: Mar 2001
Location: Austria
Posts: 4964
zieh dein zeugs zu nem anbieter um wo du die dns records selbst verwalten kannst und richte dir die einträge im dns ein.
bzw hol dir dann jemand ders für dich einrichtet.

eitschpi

alpakaflüsterer
Registered: Dec 2004
Location: eierbärhausen
Posts: 4386
Na das krieg ich dann wahrscheinlich eh hin, wollte nur sichergehen, dass es nicht irgendwas beim Domainanbieter ist. Danke!
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz