So konfigurieren Sie die DNS-Zone für einen selbstgehosteten E-Mail-Server richtig

Question

Angenommen, alle VPS-Server stellen zum Versenden von E-Mails eine Verbindung zu VPS 1 her und der MX-Eintrag für alle Domänen verweist auf die IP-Adresse von VPS 1:

Lichtschutzfaktor

Erstellen Sie einen SPF TXTDatensatz für alle Domänen: "v=spf mx ~all". In der Anweisung ~wird das anstelle von verwendet . Dies ist etwas umstritten, bezieht sich aber auf die folgenden Hinweise. Der harte Fehler hat häufig unerwünschte Folgen für die Zustellbarkeit.-all-

Beachten Sie, dass die Return-PathDomäne (an die die Bounces gehen) von checks überprüft wird SPFund nicht die FromAdresse (deshalb benötigen wir DMARC). Wenn Ihre E-Mails also andere Bounce-Adressen als Absenderadressen verwenden, Bounce addresswird die Domäne in auf einen SPFEintrag überprüft.

Beachten Sie, dass SPFdie Prüfung bei E-Mails, die über Transport-/Posteingangsregeln oder Mailinglisten weitergeleitet werden, fehlschlägt (es sei denn, der Return-PathHeader wird umgeschrieben). Beachten Sie, dass die Prüfung die Domäne (an die die Bounces gehen) und nicht die Adresse Return-Pathprüft (deshalb benötigen wir ). Wenn Ihre E-Mails also andere Bounceadressen als Absenderadressen verwenden, wird die Domäne in der auf einen Eintrag geprüft. Dasselbe gilt, wenn Sie Subdomänen verwenden. Für jede Subdomäne, die Sie als Bounceadresse verwenden, müssen Sie einen SPF- (und MX-)Eintrag einrichten.SPFFromDMARCBounce addressSPF

DMARC

TXTErstellen Sie in jeder Domäne unter _dmarc.domain.com: einen DMARC- Eintrag "v=DMARC1;p=reject". Da Ihr Setup so unkompliziert ist, möchten Sie sich möglicherweise nicht mit Berichten in einem Format herumschlagen, XMLdas an Sie oder einen Drittanbieter gesendet wird, da Sie wissen, dass nur ein Host berechtigt sein sollte, E-Mails im Namen Ihrer Domänen zu senden. Wenn Sie Ihre Dienste erweitern, können Sie das ruaTag hinzufügen, um den Empfang von Berichten zu ermöglichen.

DKIM

Ich würde dringend empfehlen, Ihrem Setup eine Signaturkonfiguration hinzuzufügen, DKIMum die Zustellbarkeit zu verbessern, falls SPFdie Authentifizierung wie in den oben beschriebenen Szenarien fehlschlägt. DKIMwird die Weiterleitung überstehen, wenn SPFsie fehlschlägt, obwohl DKIMdie Authentifizierung fehlschlagen kann, wenn Teile der E-Mail während des Transports geändert werden (z. B. Adressumschreibung). Zusammen SPFund DKIMergänzen sich gegenseitig, um die Zustellbarkeit zu verbessern.

Ein grundlegender Ratschlag zum Einrichten von DKIM ist, ein DKIM-Schlüsselpaar mit einer Bitlänge von 2048 zu erstellen und den öffentlichen Schlüssel in einem DNS- TXTEintrag unter ._domainkey.domain.com zu veröffentlichen, wo Sie Ihren eigenen Selektornamen wählen können. Für die Schlüsselrotation ist es ratsam, einen zweiten Selektoreintrag zu konfigurieren, der verwendet wird, wenn der ursprüngliche private Schlüssel kompromittiert wurde oder als Best Practice für die Rotation nach einem Zeitplan (z. B. alle 6 Monate).

Zu den Best Practices für die DKIM-Signierung gibt es noch viel mehr zu sagen. Dies geht jedoch über den Rahmen Ihrer Frage hinaus und ist im RFC perfekt dargelegt.

Haftungsausschluss

Dieses Setup spiegelt meine Auswahl wider, wie die E-Mail-Authentifizierung in Ihrem beschriebenen Szenario eingerichtet werden soll. In bestimmten Bereichen gibt es Annahmen, die möglicherweise nicht korrekt oder vollständig sind und andernfalls zu einem anderen Ansatz führen würden.

Answer 1

Angenommen, alle VPS-Server stellen zum Versenden von E-Mails eine Verbindung zu VPS 1 her und der MX-Eintrag für alle Domänen verweist auf die IP-Adresse von VPS 1:

Lichtschutzfaktor

Erstellen Sie einen SPF TXTDatensatz für alle Domänen: "v=spf mx ~all". In der Anweisung ~wird das anstelle von verwendet . Dies ist etwas umstritten, bezieht sich aber auf die folgenden Hinweise. Der harte Fehler hat häufig unerwünschte Folgen für die Zustellbarkeit.-all-

Beachten Sie, dass die Return-PathDomäne (an die die Bounces gehen) von checks überprüft wird SPFund nicht die FromAdresse (deshalb benötigen wir DMARC). Wenn Ihre E-Mails also andere Bounce-Adressen als Absenderadressen verwenden, Bounce addresswird die Domäne in auf einen SPFEintrag überprüft.

Beachten Sie, dass SPFdie Prüfung bei E-Mails, die über Transport-/Posteingangsregeln oder Mailinglisten weitergeleitet werden, fehlschlägt (es sei denn, der Return-PathHeader wird umgeschrieben). Beachten Sie, dass die Prüfung die Domäne (an die die Bounces gehen) und nicht die Adresse Return-Pathprüft (deshalb benötigen wir ). Wenn Ihre E-Mails also andere Bounceadressen als Absenderadressen verwenden, wird die Domäne in der auf einen Eintrag geprüft. Dasselbe gilt, wenn Sie Subdomänen verwenden. Für jede Subdomäne, die Sie als Bounceadresse verwenden, müssen Sie einen SPF- (und MX-)Eintrag einrichten.SPFFromDMARCBounce addressSPF

DMARC

TXTErstellen Sie in jeder Domäne unter _dmarc.domain.com: einen DMARC- Eintrag "v=DMARC1;p=reject". Da Ihr Setup so unkompliziert ist, möchten Sie sich möglicherweise nicht mit Berichten in einem Format herumschlagen, XMLdas an Sie oder einen Drittanbieter gesendet wird, da Sie wissen, dass nur ein Host berechtigt sein sollte, E-Mails im Namen Ihrer Domänen zu senden. Wenn Sie Ihre Dienste erweitern, können Sie das ruaTag hinzufügen, um den Empfang von Berichten zu ermöglichen.

DKIM

Ich würde dringend empfehlen, Ihrem Setup eine Signaturkonfiguration hinzuzufügen, DKIMum die Zustellbarkeit zu verbessern, falls SPFdie Authentifizierung wie in den oben beschriebenen Szenarien fehlschlägt. DKIMwird die Weiterleitung überstehen, wenn SPFsie fehlschlägt, obwohl DKIMdie Authentifizierung fehlschlagen kann, wenn Teile der E-Mail während des Transports geändert werden (z. B. Adressumschreibung). Zusammen SPFund DKIMergänzen sich gegenseitig, um die Zustellbarkeit zu verbessern.

Ein grundlegender Ratschlag zum Einrichten von DKIM ist, ein DKIM-Schlüsselpaar mit einer Bitlänge von 2048 zu erstellen und den öffentlichen Schlüssel in einem DNS- TXTEintrag unter ._domainkey.domain.com zu veröffentlichen, wo Sie Ihren eigenen Selektornamen wählen können. Für die Schlüsselrotation ist es ratsam, einen zweiten Selektoreintrag zu konfigurieren, der verwendet wird, wenn der ursprüngliche private Schlüssel kompromittiert wurde oder als Best Practice für die Rotation nach einem Zeitplan (z. B. alle 6 Monate).

Zu den Best Practices für die DKIM-Signierung gibt es noch viel mehr zu sagen. Dies geht jedoch über den Rahmen Ihrer Frage hinaus und ist im RFC perfekt dargelegt.

Haftungsausschluss

Dieses Setup spiegelt meine Auswahl wider, wie die E-Mail-Authentifizierung in Ihrem beschriebenen Szenario eingerichtet werden soll. In bestimmten Bereichen gibt es Annahmen, die möglicherweise nicht korrekt oder vollständig sind und andernfalls zu einem anderen Ansatz führen würden.

So konfigurieren Sie die DNS-Zone für einen selbstgehosteten E-Mail-Server richtig

Antwort1

verwandte Informationen