Ich möchte die Sendeauthentifizierung meines E-Mail-Servers erschweren und bin auf der Suche nach einigen nützlichen Hinweisen zu diesem Thema.
Da ich insgesamt 4 VPS-Server habe, von denen E-Mails gesendet werden, Registrierungsbestätigungen, Passwortzurücksetzungen usw. sowie mehrere Domänen, möchte ich die Sicherheit der E-Mail-Autorisierungen erhöhen.
Ich habe also VPS1, das ist der E-Mailserver basierend auf IRedMail, wo ich konfiguriert habe
Domäne 1, 2, 3, 4 und 5
Die Webseiten zu den Domains liegen jeweils auf unterschiedlichen VPS-Servern und haben daher jeweils eine andere IP-Adresse.
Domäne 1, 2 und 3 befinden sich auf VPS2, Domäne 4 befindet sich auf VPS 3 und Domäne 5 auf VPS 4.
Was wäre der beste Ansatz, um meine SPF- und DMARC-Einträge ordnungsgemäß zu erstellen?
Jede Hilfe zu diesem Thema wird sehr geschätzt.
Antwort1
Angenommen, alle VPS-Server stellen zum Versenden von E-Mails eine Verbindung zu VPS 1 her und der MX-Eintrag für alle Domänen verweist auf die IP-Adresse von VPS 1:
Lichtschutzfaktor
Erstellen Sie einen SPF
TXT
Datensatz für alle Domänen: "v=spf mx ~all"
. In der Anweisung ~
wird das anstelle von verwendet . Dies ist etwas umstritten, bezieht sich aber auf die folgenden Hinweise. Der harte Fehler hat häufig unerwünschte Folgen für die Zustellbarkeit.-
all
-
Beachten Sie, dass die Return-Path
Domäne (an die die Bounces gehen) von checks überprüft wird SPF
und nicht die From
Adresse (deshalb benötigen wir DMARC
). Wenn Ihre E-Mails also andere Bounce-Adressen als Absenderadressen verwenden, Bounce address
wird die Domäne in auf einen SPF
Eintrag überprüft.
Beachten Sie, dass SPF
die Prüfung bei E-Mails, die über Transport-/Posteingangsregeln oder Mailinglisten weitergeleitet werden, fehlschlägt (es sei denn, der Return-Path
Header wird umgeschrieben). Beachten Sie, dass die Prüfung die Domäne (an die die Bounces gehen) und nicht die Adresse Return-Path
prüft (deshalb benötigen wir ). Wenn Ihre E-Mails also andere Bounceadressen als Absenderadressen verwenden, wird die Domäne in der auf einen Eintrag geprüft. Dasselbe gilt, wenn Sie Subdomänen verwenden. Für jede Subdomäne, die Sie als Bounceadresse verwenden, müssen Sie einen SPF- (und MX-)Eintrag einrichten.SPF
From
DMARC
Bounce address
SPF
DMARC
TXT
Erstellen Sie in jeder Domäne unter _dmarc.domain.com: einen DMARC- Eintrag "v=DMARC1;p=reject"
. Da Ihr Setup so unkompliziert ist, möchten Sie sich möglicherweise nicht mit Berichten in einem Format herumschlagen, XML
das an Sie oder einen Drittanbieter gesendet wird, da Sie wissen, dass nur ein Host berechtigt sein sollte, E-Mails im Namen Ihrer Domänen zu senden. Wenn Sie Ihre Dienste erweitern, können Sie das rua
Tag hinzufügen, um den Empfang von Berichten zu ermöglichen.
DKIM
Ich würde dringend empfehlen, Ihrem Setup eine Signaturkonfiguration hinzuzufügen, DKIM
um die Zustellbarkeit zu verbessern, falls SPF
die Authentifizierung wie in den oben beschriebenen Szenarien fehlschlägt. DKIM
wird die Weiterleitung überstehen, wenn SPF
sie fehlschlägt, obwohl DKIM
die Authentifizierung fehlschlagen kann, wenn Teile der E-Mail während des Transports geändert werden (z. B. Adressumschreibung). Zusammen SPF
und DKIM
ergänzen sich gegenseitig, um die Zustellbarkeit zu verbessern.
Ein grundlegender Ratschlag zum Einrichten von DKIM ist, ein DKIM-Schlüsselpaar mit einer Bitlänge von 2048 zu erstellen und den öffentlichen Schlüssel in einem DNS- TXT
Eintrag unter ._domainkey.domain.com zu veröffentlichen, wo Sie Ihren eigenen Selektornamen wählen können. Für die Schlüsselrotation ist es ratsam, einen zweiten Selektoreintrag zu konfigurieren, der verwendet wird, wenn der ursprüngliche private Schlüssel kompromittiert wurde oder als Best Practice für die Rotation nach einem Zeitplan (z. B. alle 6 Monate).
Zu den Best Practices für die DKIM-Signierung gibt es noch viel mehr zu sagen. Dies geht jedoch über den Rahmen Ihrer Frage hinaus und ist im RFC perfekt dargelegt.
Haftungsausschluss
Dieses Setup spiegelt meine Auswahl wider, wie die E-Mail-Authentifizierung in Ihrem beschriebenen Szenario eingerichtet werden soll. In bestimmten Bereichen gibt es Annahmen, die möglicherweise nicht korrekt oder vollständig sind und andernfalls zu einem anderen Ansatz führen würden.