Hallo zusammen,
ich will mich jetzt auch endlich mal dem Thema SPF, DKIM und DMARC widmen, hierzu habe ich mich bisher hauptsächlich durch diesen Artikel bei msxfaq.de gelesen: https://www.msxfaq.de/spam/spf_dkim_dmarc_jetzt.htm, sowie die FAQs unseres Webhosters und von Sophos. Ich bin mir aber nicht sicher ob ich alles korrekt verstanden habe, daher wäre ich dankbar, wenn ihr mich hier entweder bestätigt oder korrigiert, wenn ich irgendwo falsch liege.
Unsere Struktur sieht im wesentlichen so aus: Exchange 2019 CU13 als Mailserver, Sophos XG im MTA-Modus als Mailgateway und Firewall und Hosteurope als Webhoster, wo auch unsere Domain liegt. Auf dem Exchange und auf der Sophos ist ein gekauftes Zertifikat einer öffentlichen CA hinterlegt, auf beiden das gleiche. Ankommend prüft die Sophos schon auf SPF und DKIM, ich möchte das Ganze jetzt aber auch für abgehend konfigurieren. Unser Mailflow ist aktuell wie folgt:
Ankommend: Internet -> MX-Record zu unserer öffentlichen IP -> Sophos XG -> Exchange
Abgehend: Exchange -> Sophos XG -> Internet
Nun zu den Punkten
SPF: Die Funktion muss nur auf dem DNS unseres Hosters Hosteurope eingerichtet werden, dazu setze ich dort für die Domäne einen TXT-Record mit dem Inhalt v=spf1 a mx ip4:<öffentliche IP über die die Mails rausgehen> -all. Der Eintrag wird nur auf der Domänenebene gesetzt, nicht auf den Namen des Mailservers. Zudem muss ich auch nicht noch Adressen von Hosteurope mit dazu nehmen, da wir dort kein Mailhosting haben, sondern direkt senden. Auf der Sophos muss ich dafür nichts einrichten, außer sicherstellen, dass die korrekte öffentliche IP verwendet wird. Korrekt?
DKIM: Hier erstelle ich gemäß Anleitung von Sophos eine DKIM Signatur mit privatem Schlüssel. Anschließend setze ich im Hosteurope DNS einen weiteren TXT-Record für die Domäne. Hier habe ich das Problem, dass Hosteurope DKIM in seinen FAQs nicht erwähnt, ich bin mir also unsicher wie der TXT Eintrag genau aussehen müsste und ob das hier auf einen separaten DNS Eintrag geht oder auch auf die Domäne als Ganzes. Ich habe das in dem Artikel auf msxfaq leider auch nicht ganz verstanden. Zudem stellt sich mir die Frage, ob zwei TXT Einträge für die gleiche Domäne Probleme verursachen können oder das kombiniert in einen Eintrag muss.
DMARC: Das finde ich weder in der Sophos noch bei Hosteurope. Wenn ich das richtig verstehe ist das aber auch wieder nur ein zusätzlicher DNS Eintrag beim Hoster, der immer _dmarc.domäne.tld heißt und als TXT-Record die Info enthält, was die Gegenseite mit Mails machen soll (ignore, quarantine, reject), wo SPF/DKIM fehlschlagen und welche Mailadresse bei uns darüber informiert werden soll. Unsere Systeme müssen dafür nichts können. Korrekt?
Zudem frage ich mich, ob man SPF und DKIM machen sollte oder nur DKIM.
Sorry für den langen Text, aber das ganze Thema ist für mich noch neu und ich hoffe hier einfach auf die Erfahrung anderer Foristen, die das schon bei sich einsetzen.
Danke im Voraus für eure Hilfe
Gruß
Daniel
SPF: Die Funktion muss nur auf dem DNS unseres Hosters Hosteurope eingerichtet werden, dazu setze ich dort für die Domäne einen TXT-Record mit dem Inhalt v=spf1 a mx ip4:<öffentliche IP über die die Mails rausgehen> -all. Der Eintrag wird nur auf der Domänenebene gesetzt, nicht auf den Namen des Mailservers. Zudem muss ich auch nicht noch Adressen von Hosteurope mit dazu nehmen, da wir dort kein Mailhosting haben, sondern direkt senden. Auf der Sophos muss ich dafür nichts einrichten, außer sicherstellen, dass die korrekte öffentliche IP verwendet wird. Korrekt?
Grundsätzlich korrekt. Wenn dein Domain Eintrag (üblicherweise die Webseite) (A) keine Mails sendet, kannst du dir a und mx auch sparen, denn das spart dem Empfänger zwei unnötige Lookups, denn du gibst ja mit ip:IP deiner Firewall die sendende IP direkt an. -all würde ich beim Einsatz von DMARC nicht verwenden, sondern softfail mit ~all
DKIM: Hier erstelle ich gemäß Anleitung von Sophos eine DKIM Signatur mit privatem Schlüssel. Anschließend setze ich im Hosteurope DNS einen weiteren TXT-Record für die Domäne. Hier habe ich das Problem, dass Hosteurope DKIM in seinen FAQs nicht erwähnt, ich bin mir also unsicher wie der TXT Eintrag genau aussehen müsste und ob das hier auf einen separaten DNS Eintrag geht oder auch auf die Domäne als Ganzes. Ich habe das in dem Artikel auf msxfaq leider auch nicht ganz verstanden. Zudem stellt sich mir die Frage, ob zwei TXT Einträge für die gleiche Domäne Probleme verursachen können oder das kombiniert in einen Eintrag muss.
Ein DKIM Eintrag sieht immer gleich aus. Er besteht aus selector (das ist der Teil, den du in deiner Sophos konfigurierst und frei definieren kannst), dem man frei wählbar einen Namen geben kann, und sinnvollerweise einen Namen gibt, der zuordenbar ist. Bspw. wenn dein Exchangeserver mail.deinedomain.tld heißt, könntest du den selector mail2023 nennen. Bindestriche und Unterstriche sind nicht erlaubt. danach kommt _immer_ _domainkey. Du musst also bei Hosteurope einen TXT Record nach dem Vorbild mail2023._domainkey in deiner Domain anlegen und dort dann den public key aus der Sophos einfügen.
DMARC: Das finde ich weder in der Sophos noch bei Hosteurope. Wenn ich das richtig verstehe ist das aber auch wieder nur ein zusätzlicher DNS Eintrag beim Hoster, der immer _dmarc.domäne.tld heißt und als TXT-Record die Info enthält, was die Gegenseite mit Mails machen soll (ignore, quarantine, reject), wo SPF/DKIM fehlschlagen und welche Mailadresse bei uns darüber informiert werden soll. Unsere Systeme müssen dafür nichts können. Korrekt?
DMARC verbindet die beiden Techniken SPF und DKIM. DMARC sagt also aus, was der Empfänger als authorisierend für deine Domain akzeptieren soll. Entweder muss SPF ODER DKIM stimmen. Hierbei zielt SPF auf den Envelope Sender ab und DKIM auf das FROM: in der Mail. (die sogenannte Signing domain). Wenn beides stimmt ist das ok, aber mindestens eins von beiden muss für das Bestehen des DMARC Tests korrekt sein. DMARC definiert per p= (Policy) was der Empfänger im Falle des NICHTBestehens tun soll. P=NONE (für die Implementierungsphase sagt also "none" aus, dass es egal ist, ob SPF oder DKIM nicht korrekt ist und die Mail möglichst trotzdem angenommen werden soll). P=Quarantine sagt dem Empfänger er soll die Mail bei Nichtbestehen als verdächtig einsortieren und meist in den Junkfolder der Empfänger schieben. P=Reject sorgt am Ende dafür, dass solche nichtbestehenden Mails beim Empfängerserver direkt abgelehnt werden sollen. Das sind natürlich nur Empfehlungen, die der Empfänger umsetzen kann oder auch nicht. Du bist bspw. mit der Sophos ein schönes Beispiel, die kann nämlich keine DMARC Prüfung. Bei mir werden Policies mit p=none genauso behandelt wie die mit quarantine, weil ich davon ausgehe, dass die Absender entweder nicht kapieren, was sie da konfigurieren, oder aber eben in der Implementierungsphase stecken und sowieso irgendwann auf quarantine oder reject wechseln werden. Der kürzeste DMARC Record lautet also "v=DMARC1; p=reject" bzw. none oder quarantine und ist ein TXT record mit Namen _dmarc (in deiner Zone). Das thema DMARC ist natürlich deutlich größer als diese paar Zeilen, aber das sollte erstmal für den Überblick reichen (siehe unten).
Zudem frage ich mich, ob man SPF und DKIM machen sollte oder nur DKIM.
Bei DMARC sollte man beides machen.
Noch ein Tipp, ich empfehlen allen meinen Kunden eine vernünftige DMARC Auswertung zu machen. Das geht am sinnvollsten mit entsprechenden Cloudanbietern. Wir selbst sind MSP für Mailhardener.com weil die im DSGVO Gebiet sitzen und die meisten anderen die ich gefunden habe sitzen in US, GB oder AUS. Die paar Euro sollte man zumindest mal für ein Jahr investieren, um die sinnvolle Funktion von DMARC nutzen zu können, denn ohne Auswertung der DMARC Reports steht man mehr oder weniger genauso doof da wie vorher, man weiß eben nicht, ob und wo man korrekt bzw. falsch konfigurierte Absender hat.
Bei Fragen gib mir Bescheid.
Bye
Norbert
Hallo Norbert,
vielen lieben Dank für die ausführliche Antwort, auch mit dem Hinweis die DMARC Auswertung über einen entsprechenden Dienst machen zu lassen. Ich werde mir das auf jeden Fall noch mal genauer ansehen, denn das macht auf jeden Fall Sinn.
Gruß
Daniel