Um die Wahrscheinlichkeit zu verringern, dass E-Mails als SPAM gekennzeichnet werden, sind meiner Meinung nach die folgenden Dinge auf E-Mail-Servern zu tun:
- Der Hostname wird in eine gültige IP aufgelöst, z. B.mail.beispiel.comZu1.1.1.1
- Reverse DNS existiert beispielsweise1.1.1.1Punktemail.beispiel.com
- Mailserver sendet "HELO"-Befehle alsmail.beispiel.com
- Der Mailserver hat einen MX-Eintrag, der aufmail.beispiel.com
- Einzubindender SPF-Eintrag1.1.1.1als autorisierter Sendeserver
- DMARC- und DKIM-Validierung. Die vom Mailserver verschlüsselte DKIM-Signatur und der öffentliche Schlüssel stehen zur Entschlüsselung zur Verfügung.
Wie würden Sie den DNS konfigurieren, wenn der Postfix-Server an Office 365 weiterleitet?
SMTP-Relay wurde mit Option 3 konfiguriert, siehe dieseArtikel). Ich glaube, dass meine unten aufgeführte Liste nur beim Einrichten von SMTP-Relay und nicht von SMTP-Authentifizierung gilt (ich glaube, dass der HELO-Austausch zwischen Office 365 und dem Empfängerserver erfolgt, wenn SMTP-Authentifizierung verwendet wird, und das ist der Grund, warum dies nicht zutrifft).
- Der Postfix-Server sollte eine gültige IP-Adresse haben, z. B.mail.beispiel.comZu1.1.1.1
- Reverse DNS gibt es zB1.1.1.1Punktemail.beispiel.com.
- Was würde passieren, wenn es mehrere Domänen und Server gäbe, die von derselben IP senden? Wäre das nicht ein Problem, wenn der Server die jeweilige Domäne als Hostnamen verwendet? Beispiel:mail.abc-domain.comUndmail.beispiel.comsind zwei separate Server, die dieselbe öffentliche IP-Adresse verwenden.
- Besteht die Lösung darin, für den HELO-Austausch auf allen Servern denselben Hostnamen zu verwenden, unabhängig davon, für welche Domäne der Server die Weiterleitung durchführt? Alternativ können wir stattdessen zwei öffentliche IPs für jede Domäne haben.
- Der Postfix-Server sollte "HELO"-Befehle ausgeben alsmail.beispiel.com.
- MX eingestellt alsbeispiel.mail.protection.outlook.comfürexample.comda E-Mails an Office 365 zugestellt werden. Der Postfix-Server wird in diesem Szenario nur als Relay-Server verwendet.
- Der SPF-Eintrag sollte beides enthalten1.1.1.1Undspf.protection.outlook.com.
- Es scheint, dass das SMTP-Relay zu Office 365 den Hostnamen und die IP des Postfix-Servers in den HELO-Austausch einschließt. Das bedeutet, dass es wichtig ist, die öffentliche IP des Postfix in den SPF-Eintrag aufzunehmen.
- Office 365 versendet E-Mails im Namen vonexample.comfür authentifizierte Benutzer (z. B. die Outlook-Benutzer), weshalbspf.protection.outlook.comist auch im SPF-Eintrag erforderlich.
- Für example.com existiert bereits ein PTR-Eintrag, der auf den Webserver auf 2.2.2.2 verweist. Der Webserver sollte den PTR-Eintrag nicht benötigen, der auf ihn selbst verweist, daher würde ich meinen, dass es sicher ist, den PTR auf den Postfix-Server zu ändern.Welche weiteren Anwendungsfälle gibt es für den PTR-Eintrag?
- DMARC- und DKIM-Validierungen.
- Ich bin der Meinung, dass die DKIM-Signatur in Office 365 verschlüsselt werden sollte, da sowohl der Postfix-Server als auch normale Benutzer (Outlook-Benutzer) E-Mails an Office 365 senden.Ist das richtig?
Wie bereits erwähnt, kann ich sehen, dass Postfix den Hostnamen und die IP in den E-Mail-Header aufgenommen hat, wie unten gezeigt.
Hop Delay From By With Time (UTC) Blacklist
1 * userid mail.example.com 9/8/2023 6:38:37 AM
2 1 Second mail.example.com 59.154.1.42 SY4AUS01FT019.mail.protection.outlook.com 10.114.156.121 Microsoft SMTP Server 9/8/2023 6:38:38 AM Not blacklisted
3 1 Second SY4AUS01FT019.eop-AUS01.prod.protection.outlook.com 2603:10c6:10:1f4:cafe::15 SY5PR01CA0071.outlook.office365.com 2603:10c6:10:1f4::9 Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 9/8/2023 6:38:39 AM Not blacklisted
4 0 seconds SY5PR01CA0071.ausprd01.prod.outlook.com 2603:10c6:10:1f4::9 ME3PR01MB7048.ausprd01.prod.outlook.com 2603:10c6:220:16d::8 Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 9/8/2023 6:38:39 AM
Im empfangenen E-Mail-Header kann ich sehen, dass der E-Mail-Header zeigt, dass der HELO-Befehl beim Weiterleiten von E-Mails an Office 365 auf dem Postfix-Server gestartet wird
Received-SPF: Pass (protection.outlook.com: domain of example.com designates
1.1.1.1 as permitted sender) receiver=protection.outlook.com;
client-ip=1.1.1.1; helo=mail.example.com; pr=C
Received: from mail.example.com (1.1.1.1) by
SY4AUS01FT019.mail.protection.outlook.com (10.114.156.121) with Microsoft
SMTP Server id 15.20.6768.30 via Frontend Transport; Fri, 8 Sep 2023 06:38:38
+0000
Im Gegensatz dazu startet beim Senden über Office 365 über Outlook der HELO bei Office 365
Received-SPF: Pass (protection.outlook.com: domain of example.com
designates 40.107.108.68 as permitted sender)
receiver=protection.outlook.com; client-ip=40.107.108.68;
helo=AUS01-ME3-obe.outbound.protection.outlook.com; pr=C
Received: from AUS01-ME3-obe.outbound.protection.outlook.com (40.107.108.68)
by ME3AUS01FT015.mail.protection.outlook.com (10.114.155.141) with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.6792.19 via Frontend Transport; Wed, 13 Sep 2023 04:01:55 +0000
ARC-Seal: i=1; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=none;
Antwort1
Stellen Sie zunächst sicher, dass der Hostname Ihres Postfix-Servers korrekt in eine gültige IP-Adresse aufgelöst wird, z. B. „mail.example.com“ in „1.1.1.1“. Stellen Sie außerdem sicher, dass ein Reverse-DNS-Eintrag vorhanden ist, der „1.1.1.1“ mit „mail.example.com“ verknüpft. Diese grundlegenden DNS-Einstellungen spielen eine entscheidende Rolle beim Aufbau von Vertrauen und beim Zustellen von E-Mails, ohne dass diese als Spam gekennzeichnet werden.
In Szenarien, in denen mehrere Domänen einen einzigen Server mit einer gemeinsamen öffentlichen IP-Adresse gemeinsam nutzen, sollten Sie für den HELO-Austausch einen einheitlichen Hostnamen wie „mail.example.com“ verwenden. Dies vereinfacht die Konfiguration und Verwaltung und erfordert nur einen SPF-Eintrag. Seien Sie jedoch vorsichtig, denn wenn eine Ihrer Domänen auf die schwarze Liste gesetzt wird, kann dies die E-Mail-Zustellbarkeit in allen Ihren Domänen beeinträchtigen. Alternativ können Sie jeder Domäne separate öffentliche IP-Adressen zuweisen. Dies bietet zwar eine verbesserte Isolierung und Ausfallsicherheit, ist jedoch ein komplexeres Setup zum Konfigurieren und Verwalten.
Es ist wichtig, sowohl die öffentliche IP Ihres Postfix-Servers („1.1.1.1“) als auch den SPF-Eintrag von Office 365 („spf.protection.outlook.com“) in Ihren SPF-DNS-Eintrag aufzunehmen. Dieser Schritt ist wichtig, da Office 365 möglicherweise E-Mails im Namen Ihrer Domäne sendet, insbesondere für authentifizierte Benutzer wie Outlook-Benutzer. Ein Beispiel für einen SPF-Eintrag könnte folgendermaßen aussehen: „v=spf1 a:1.1.1.1 include:spf.protection.outlook.com ~all.“
In Fällen, in denen ein PTR-Eintrag für „example.com“ vorhanden ist, der auf die IP Ihres Webservers („2.2.2.2“) verweist, sollte eine Änderung, die auf den Postfix-Server verweist, keine negativen Auswirkungen auf den Webserver haben. PTR-Einträge sind für die Validierung der Serverauthentizität von entscheidender Bedeutung und sollten die Funktion des Servers genau widerspiegeln. In diesem Zusammenhang entspricht die Aktualisierung des PTR-Eintrags für „1.1.1.1“, der auf „mail.example.com“ verweist, seiner Rolle als E-Mail-Server.
Stellen Sie sicher, dass DKIM-Signaturen in Office 365 korrekt verschlüsselt sind. Dies ist von entscheidender Bedeutung, da sowohl der Postfix-Server als auch Outlook-Benutzer E-Mails an Office 365 senden und eine ordnungsgemäße DKIM-Verschlüsselung für die E-Mail-Authentifizierung und Vertrauenswürdigkeit unerlässlich ist. Beachten Sie, dass Office 365 alle ausgehenden E-Mails automatisch mit DKIM signiert, sodass Ihrerseits keine zusätzliche Konfiguration erforderlich ist.
Indem Sie diese bewährten Methoden für DNS- und E-Mail-Konfiguration befolgen, können Sie die Zuverlässigkeit Ihres E-Mail-Relays mit Office 365 verbessern. Dies wiederum verbessert die E-Mail-Zustellbarkeit und verringert die Wahrscheinlichkeit, dass E-Mails als Spam gekennzeichnet werden. Verschlüsseln Sie E-Mail-Verbindungen zwischen Ihrem Postfix-Server und Office 365, um Sicherheit und Datenschutz zu verbessern. Richten Sie Postfix so ein, dass es sich mit Office 365 über SMTP AUTH für ein sicheres E-Mail-Relay authentifiziert.
Überprüfen Sie regelmäßig die E-Mail-Header, um sicherzustellen, dass die HELO-Befehle mit dem Hostnamen Ihres Servers übereinstimmen und die E-Mails erfolgreich zugestellt werden.
Antwort2
Das Weiterleiten unterscheidet sich stark vom Versenden von E-Mails. Die von Ihnen beschriebenen Maßnahmen beziehen sich auf das Versenden von E-Mails. Siesollensind für die E-Mail-Weiterleitung alle irrelevant.
Ich bin der Meinung, dass die DKIM-Signatur in Office 365 verschlüsselt werden sollte, da sowohl der Postfix-Server als auch normale Benutzer (Outlook-Benutzer) E-Mails an Office 365 senden. Ist das richtig?
Nein. Das ergibt keinen Sinn. DKIMZeichenE-Mails. Der Empfänger validiert die Signatur. Dies ist nicht möglich, wenn die Signatur nicht gelesen werden kann.