Über die Einstellungen zur Mailsicherheit kannst du verhindern, dass deine Domain für gefälschte Absenderadressen verwendet wird.
Dafür stehen die Verfahren DKIM, SPF und DMARC zur Verfügung.
DKIM
DKIM steht für DomainKeys Identified Mail.
Dabei werden ausgehende E-Mails mit einer digitalen Signatur versehen. Empfangende Mailserver können dadurch überprüfen, ob eine E-Mail tatsächlich von deiner Domain stammt und ob sie während der Übertragung verändert wurde.
Funktionsweise
Für DKIM wird ein Schlüsselpaar verwendet.
Private Key
Wird auf dem Mailserver gespeichert und zum Signieren der E-Mails verwendet.
Public Key
Wird im DNS deiner Domain veröffentlicht und von empfangenden Mailservern zur Überprüfung genutzt.
DKIM aktivieren
Mit der Funktion DKIM aktivieren wird automatisch ein Schlüsselpaar erzeugt.
Wenn du die konsoleH Nameserver verwendest, kann der notwendige DNS-Eintrag automatisch gesetzt werden.
Wenn externe Nameserver verwendet werden, muss der angezeigte TXT Record manuell im DNS eingetragen werden.
Eigene Schlüssel verwenden
Es ist möglich, ein eigenes Schlüsselpaar zu verwenden.
Der private Schlüssel darf dabei nicht durch ein Passwort geschützt sein.
SPF
SPF steht für Sender Policy Framework.
Dieses Verfahren legt fest, welche Mailserver berechtigt sind, E-Mails im Namen deiner Domain zu versenden.
Der SPF Eintrag wird als TXT Record im DNS deiner Domain gespeichert.
Funktionsweise
Im SPF Record werden autorisierte Mailserver definiert. Dies können einzelne IP-Adressen, IP-Bereiche oder Hostnamen sein.
Empfangende Mailserver prüfen anhand dieses Eintrags, ob eine E-Mail von einem erlaubten Server gesendet wurde.
SPF bei konsoleH Nameservern
Bei Verwendung der konsoleH Nameserver wird automatisch ein Standard SPF Record gesetzt.
⚠️ Probleme können auftreten, wenn E-Mails über externe Dienste versendet werden, die nicht im SPF Record enthalten sind.
In solchen Fällen müssen die entsprechenden Mailserver in den SPF Record aufgenommen werden.
DMARC
DMARC steht für Domain-based Message Authentication, Reporting and Conformance.
DMARC baut auf den Verfahren SPF und DKIM auf und legt fest, wie empfangende Mailserver mit E-Mails umgehen sollen, die diese Prüfungen nicht bestehen.
Zusätzlich ermöglicht DMARC das Versenden von Berichten über fehlgeschlagene Prüfungen.
Funktionsweise
DMARC wird über einen TXT Record im DNS deiner Domain konfiguriert.
Dieser Record definiert unter anderem:
- welche Richtlinie angewendet werden soll
- ob Berichte über fehlgeschlagene Prüfungen gesendet werden
- wie streng die Prüfung erfolgen soll
Empfangende Mailserver prüfen anhand des DMARC Records, ob eine E-Mail die SPF oder DKIM Prüfung bestanden hat und ob der Absender zur Domain passt.
Mögliche Richtlinien
DMARC kann unterschiedliche Richtlinien definieren.
none
Die E-Mail wird zugestellt. Es erfolgt lediglich eine Auswertung.
quarantine
Die E-Mail kann als Spam behandelt werden.
reject
Die E-Mail wird vom empfangenden Mailserver abgelehnt.
DMARC Record erstellen
Der DMARC Record wird als TXT Record im DNS deiner Domain hinterlegt.
Ein typischer Eintrag kann beispielsweise so aussehen:
_dmarc.example.com IN TXT “v=DMARC1; p=none”Welche Richtlinie verwendet wird, hängt von der gewünschten Konfiguration der Domain ab.