Mail Server Strato und Mail Server: Einrichtung DKIM SPF DMARC Workaround

  • Lange schon haben wir uns gewünscht, diese Mitteilung veröffentlichen zu können. Seit langer Zeit planen wir den Umzug auf neue Server und nun ist es geschafft. Um euch einen Einblick hinter die Kulissen zu geben haben wir einen extra Beitrag geschrieben:

    Das Forum hat eine neue Heimat bei netcup gefunden

    Wir möchten uns ganz herzlich bei netcup bedanken! necup stellt uns die neuen Server. Schaut mal in unsere Beiträge, was sich durch den Umzug alles verbessert hat.

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
770
Punkte für Reaktionen
111
Punkte
63
Ich habe lange gebraucht, bis auf meinem Mail-Server DKIM (öffentlicher Schlüssel in meinen Mails) und SPF (Überprüfung gefälschter Absenderadressen) / DMARC sowie die Verknüpfung mit meinem Strato-Domain-Account richtig funktionierte. Dadurch aber erreiche ich nun laut mail-tester.com einen Score von 10/10 in meinen Mails, sie dürften also anstandslos bei allen Mail-Betreibern durchgehen und nicht im Spam-Ordner landen. Das Ganze war deswegen kompliziert, weil die Synology-Anleitung in Bezug auf Strato nicht richtig ist bzw. Angaben fehlen. Nun funktioniert es bei mir, mit meinem Voraussetzungen - ob es bei Euch klappt, kann ich nicht wissen. Hier nun mein Workaround.

Meine Voraussetzungen:

- Business-Tarif Unitymedia, dh. statische IP. Den eigenen Mail-Server zu hosten, ist bei einer dynamischen IP grundsätzlich auch möglich, aber dann würde ich bei der Mail-Einrichtung dringend raten, unter SMTP das SMTP-Relais zu aktivieren. So werden eigene Mails über einen Provider (Googlemail o.ä.) verschickt. Mails von dynamischen IPs und ohne Relais landen sonst mit Sicherheit auf Blacklists, dort wieder wegzukommen ist kaum möglich, man hat mehr Ärger als Nutzen. Wenn man das Relais aktiviert hat, ist die Einrichtung von DKIM/SPF auch eigentlich obsolet.

- Mail Server, nicht MailPlus Server (läuft auf meiner Kiste nicht)

- Strato Domain-Paket.

Vorgehensweise:

- In Mail Server die grundsätzlichen Mail-Einrichtungen vornehmen. Unter Sicherheit - Autenthifizierung: SPF, DKIM, DMARC aktivieren. DKIM-Auswahlpräfix (auch Selektor genannt): ein Begriff/Wort, ich habe meinen Domainnamen verwendet (Nachname ohne .de). Und jetzt, anders als in der Synology-Anleitung beschrieben (https://www.synology.com/de-de/knowledgebase/DSM/help/MailServer/mailserver_spam): KEIN: .-domainkey dazuschreiben. Also wirklich nur das Wort/den Selektor. Dann einen öffentlichen Schlüssel generieren.

- In Strato: Ich gehe davon aus, dass eine Subdomain für den Email-Server a la: mail.meinedomain.de eingerichtet wurde und von der Hauptdomain dann ein MX-Record darauf erstellt wurde. Also im MX-Record angeben: Primärer Mailserver: Eigener Mailserver, Adresse 1: mail.meinedomain.de. Unbedingt mit einem Punkt als Abschluss!

Dann: Domainverwaltung - Domain - DNS-Einstellungen - TXT-Records: SPF-Regel: Fail

- TXT und CNAME-Records: Präfix: _dmarc Typ: TXT Wert: v=DMARC1; p=quarantine; pct=20; rua=mailto:aggrep@meinedomain.de --> Im Wert-Bereich alles so wie hier geschrieben mit Semikolon abtrennen.

Dann wieder: Präfix: meinedomain.-domainkey (also den im Mail-Server angegebenen Selektor.-domainkey ) Typ: TXT Wert: v=DKIM1; k=rsa; p=Hier den vom Syno-Mailserver generierten öffentlichen Schlüssel einsetzen (auch wieder mit Semikolon abtrennen).

Alles abspeichern, 12 Stunden warten, Testmail an mail-tester.com abschicken und analysieren lassen.

Viel Erfolg!

Was noch nicht richtig funktioniert: (aber das ist eigentlich ein anderes Thema): Dass bei Ausfall meines Mailservers die Mails an mich nicht im Strato Mailserver landen, obwohl ich diesen im MX-Record als Backup-Mailserver angegeben habe. Hier muss ich noch nachforschen).
 
  • Like
Reaktionen: Schmid

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
770
Punkte für Reaktionen
111
Punkte
63
Noch als Nachtrag. Auch wenn alle Einstellungen (DKIM, SPF etc.) richtig sind - so kann es dennoch sein, dass Mails nicht angenommen werden bzw. bei manchen Email-Servern abgelehnt werden. So z.B. bei der Telekom, die komplette IP-Bereiche auf interne Blacklists setzt. Hier hilft eine Mail an tosa@rx.t-online.de mit der Bitte um De-Listing.
 

steje43

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
596
Punkte für Reaktionen
19
Punkte
38
Hinweis: Bei Selfhost kann man auch SPF, DKIM und Dmarc setzen. Funktioniert, dachte erst geht nicht.
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.478
Punkte für Reaktionen
28
Punkte
94
Ort
x-berg
@steje43,

kannst du bitte beschreiben wie du es bei Selfhost konfiguriert hast??
Würde sicher vielen Usern hier helfen.

Danke.

PS.: Ist es möglich den Beitrag von "servilianus" ins WIKI zu übertragen oder hier im Forum anzupinnen??
 

steje43

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
596
Punkte für Reaktionen
19
Punkte
38
Bei Selfhost geht das auch:


Neuer Record anlegen, hier Txt Record

SPF =

Domain deine Domain

Wert v=spf1 a mx ~all

Dmarc =

_dmarc.deineDomain
Wert = v=DMARC1;p=quarantine;pct=20;rua=mailto:dmarc@deinedomain;adkim=r;aspf=s (User dmarc als Alias anlegen)

DKIM
z.B. peter._domainkey.deineDomain (peter ist der Präfix beim Anlegen des Keys auf der DS
Wert = v=DKIM1;p=Deinöffentlicher Key von der DS;t=s

Warum die Werte so sind erklärt idomix im Video sehr gut.
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
hm
Wert v=spf1 a mx ~all
-all oder lass es mit dem SPF ganz sein ;)
Wer ~ beim SPF Standard erfunden hat gehört geteert, gefedert und durchs Dorf getrieben.
Beim DMARC würde ich zudem als policy reject und ned quarantine verwenden
 

steje43

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
596
Punkte für Reaktionen
19
Punkte
38

ismkaya

Benutzer
Mitglied seit
17. Sep 2017
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich hab, bis auf die Subdomain, ebenfalls nach langem Probieren diese Einstellung selbst herausgefunden. Nun habe ich folgende Probleme:

1. GMAIL: SPF ist fail und eMail ist spam
2. FREENET, EXCHANGE (office365), OUTLOOK, HOTMAIL, GMX, WEB.DE: SPF ist pass, aber eMail ist spam

Könnt ihr mir hierbei bitte helfen.

Gruß ismkaya

PS und ich erhalte von GMAIL und YAHOO sogenannte DMARC-eMails... Warum auch immer... :(
 

Hausmeisterle

Benutzer
Mitglied seit
24. Nov 2019
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Guten Morgen,

Ich bin zwar völlig neu hier, benötige aber dennoch mal eine kurze Hilfe per PN ( falls erlaubt )

@Servilianus

Wäre mega lieb , wenn du mir kurz eine PN senden könntest, ich verzweifle völlig beim einrichten der DKIM auf Strato DNS .

Auch nach deiner Anleitung oben, komme ich nicht weiter, und mail-tester findet immer wieder etwas zu beanstanden.

Vielen Dank schon mal :)

Grüße

Gio
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
770
Punkte für Reaktionen
111
Punkte
63
Lieber Gio, leider kann ich Dir nicht mehr helfen. Denn: Ich habe zwischenzeitlich meinen MailServer so verändert, dass er Mails nur noch als Relay über Strato herausschickt bzw. Strato als Relay nutzt. Der Grund war, dass ohne Strato-Relay (also meine Mails wirklich komplett über den eigenen MailServer) einige Mails doch nicht den Empfänger erreicht haben - und ich ehrlich gesagt keine Lust mehr hatte, ständig nachzuschauen, ob ich nicht doch auf irgendwelchen Blacklists gelandet bin. Der Zeitaufwand für die Administration und Wartung stand in keinem Verhältnis dazu, dass ich selbst im Email-Header stehe und nicht Strato als versendendes Unternehmen.
 
NAS-Central - Ihr Partner für NAS Lösungen