Ich habe bei einem Registrar mehrere Domänen mit direkten Weiterleitungen an eine andere E-Mail-Adresse.
Das System hat viele Jahre lang in vielen Domänen einwandfrei funktioniert, aber ich habe vor Kurzem eine neue Weiterleitung erstellt, die beim Testen fehlschlug.
Der Fehler war kein SPF/DKIM-Fehler, sondern ein Fehler mit unbekannter Adresse. Der Registrar besteht darauf, dass der Grund für den Fehler darin liegt, dass sein System keine SPF- und DKIM-Einträge in der weiterzuleitenden Domäne zulässt.
Ich habe auf diesem Gebiet nicht viel Wissen, aber ich bin nicht davon überzeugt, dass die Aussagen des Standesbeamten der Wahrheit entsprechen. Gibt es irgendwelche Hinweise?
Antwort1
Nein, DKIM und SPF deaktivieren die E-Mail-Weiterleitung nicht vollständig. Stattdessen erlauben sie nurautorisiertRelays zum Weiterleiten von E-Mails für eine Domäne und empfehlen, dass alle empfangenden Systeme E-Mails vonunbefugtRelays. Diese Autorisierung wird über spezielle DNS-Records bekannt gegeben.
Es ist möglich, mehrere ausgehende Relays gleichzeitig einzurichten (Ihren eigenen Server und einige externe Server). Am Ende werden Sie sie jedoch alle in Ihren SPF- und DKIM-Einträgen auflisten.
Für SPF müssen Sie entweder alle Relay-IP-Adressen kennen oder den Namen ihres gültigen SPF-Eintrags, der alle ihre Adressen auflistet. Sie richten dann alle diese Adressen in Ihrem SPF-Eintrag ein oder verwenden sie. include:their-spf-record
Zusätzlich zu Ihren eigenen oder anderen Relays benötigen Sie:
example.com. TXT "v=spf1 a:your.server.name include:their-spf-record ip4:192.0.2.111 -all"
(es kann viele verschiedene a:-, include:-, ip4:-Teile geben).
Für DKIM,Relaisbetreibermüssen Signaturschlüsselpaare generieren. Dann müssen sie Ihnen den öffentlichen Schlüssel und seineWähler(Sie konfigurieren ihren Server auch so, dass er mit dem entsprechenden privaten Schlüssel und diesem Selektor signiert.) Dann erstellen Sie für jedes Schlüssel-Selektor-Paar einen zusätzlichen TXT-Eintrag in der Form:
selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..<key>.."
Natürlich muss jedes System seinen eigenen Selektor verwenden.
Dies ist die gesamte DNS-Einrichtung, die zum gleichzeitigen Senden von E-Mails mit der „Von“-Domäne von mehreren Systemen erforderlich ist.
Der SPF-Teil sollte für niemanden ein Problem darstellen. Das Problem mit ihrem System könnte sein, dass sie nicht wissen, wie man DKIM-Signaturen für weitergeleitete E-Mails einrichtet. In meinem Fall macht das beispielsweise Postfix+Rmilter und es gibt keine Probleme, alles kann konfiguriert werden. Sie können auch wählen, mit DKIM auf Ihrem Server zu signieren, der das Relay als Smarthost verwendet, und Sie müssen sicherstellen, dass Relay-Systeme signierte Header nicht manipulieren und Ihre Signatur nicht entfernen; wenn das der Fall ist, ist es nicht erforderlich, zusätzliche DKIM-Signaturen auf dem Relay-System einzurichten.