Kategorien

DKIM/DMARC Eintrag

Ein DKIM Eintrag dient der Mailsicherheit und Validierung. In der Regel gehen mit einem solchen TXT Eintrag, den Sie automatisiert über die DNS Verwaltung im KCC setzen können, zwei weitere Records einher. Wenn Sie einen DKIM Eintrag setzen lassen so erstellen wir wenn möglich gleich 2 weitere Records mit. Der SPF Record und der DMARC Record. Beide Records werden „neutral“ angelegt, d.h. dass sie grundsätzlich erstmal nichts blockieren, filtern oder entscheiden. Nachfolgend sehen Sie die Parameter die die in den Records einstellen können:

Möglicher Eintrag (Empfehlung):
v=DMARC1; p=quarantine; sp=quarantine; pct=100; adkim=r; aspf=r; rua=mailto:Meine@Emailadresse.de; ri=86400; fo=0:1:d:s;

Parameter Beschreibung
v Angabe Pflicht: Protokollversion.
p Angabe Pflicht: Richtlinie wie mit verdächtigen Mails umgegangen werden soll.
Möglich sind die Angaben:
none: Empfänger wird gebeten keine Aktion auszuführen.
quaratine: Empfänger soll diese als Verdächtig einstufen oder als Spam markieren.
reject: Empfänger wird angewiesen die Emails abzulehnen wenn der DMARC Check nicht bestanden wurde.

Weitere Parameter die Angepasst werden können:

Parameter Beschreibung
sp Angabe Optional: Richtlinie für Subdomains (mögliche Angaben gleich wie bei p)
pct Angabe Optional: Prozentsatz der zu filternden E-Mails. Dieser Wert legt den prozentualen Anteil fest, der mittels der DMARC-Richtlinie gefiltert werden soll. Der angegebene Wert muss eine Zahl zwischen 1 und 100 sein. Der Standardwert ist 100
adkim Angabe Optional: Legt die Einstellungen des Abgleichsmodus für DKIM Signaturen fest. Dieser Wert bestimmt, wie genau die E-Mails mit den DKIM-Signaturen übereinstimmen müssen
Mögliche Angaben sind:
r: Steht für relaxed. Wenn dieser Wert angegeben wird, wird jede gültige Subdomain in den DKIM-E-Mail-Headern akzeptiert
s: Steht für strict. Der Header der E-Mails muss genau mit dem Wert d=name in den DKIM-E-Mail-Headern übereinstimmen
aspf Angabe Optional: Dieser Wert bestimmt, wie genau Nachrichten mit den SPF-Signaturen übereinstimmen müssen.
Mögliche Angaben sind:
r: Steht für relaxed. Wenn dieser Wert angegeben wird, wird jede gültige Subdomain akzeptiert
s: Steht für strict. Der Header der E-Mails muss genau mit dem Domain-Namen im Befehl „SMTP Mail FROM“ übereinstimmen
rua Angabe Optional: E-Mail-Adresse, an die die aggregierten Statusberichte gesendet werden
ruf Angabe Optional: E-Mail Adresse, an die die Fehlerberichte gesendet werden
ri Angabe Optional: Intervall zwischen den aggregierten Berichten (in Sekunden)
fo Angabe Optional: Fehlerberichtsoptionen

Mögliche Angaben sind:
– 0: Erzeugt einen DMARC-Fehlerbericht, wenn alle zugrundeliegenden Authentifizierungsmechanismen (SPF und DKIM) kein ausgerichtetes „pass“-Ergebnis liefern. (Voreinstellung)
– 1: Erzeugt einen DMARC-Fehlerbericht, wenn einer der zugrundeliegenden Authentifizierungsmechanismen (SPF oder DKIM) etwas anderes als ein ausgerichtetes „pass“-Ergebnis liefert.
– d: Erzeugt einen DKIM-Fehlerbericht, wenn die Nachricht eine Signatur enthielt, die nicht ausgewertet werden konnte, unabhängig von ihrer Ausrichtung.
– s: Erzeugt einen SPF-Fehlerbericht, wenn die Nachricht die SPF-Auswertung nicht bestanden hat, unabhängig von ihrer Ausrichtung


SPF:
Unser Eintrag:
v=spf1 mx a include:spf.serverdomain.org ?all

Möglicher Eintrag (Empfehlung):
v=spf1 mx a include:spf.serverdomain.org ~all
Mögliche Angaben sind:
v: Protokollversion
A: A Record der senden darf
MX: MX Record der senden darf
Include: IP Range oder Domain die senden darf
-all => Fail: teilt dem Server mit, dass Adressen, die nicht im SPF-Eintrag aufgeführt sind, nicht berechtigt sind, E-Mails zu versenden und zurückgewiesen werden sollten
~all => Softfail: was bedeutet, dass nicht aufgelistete E-Mails als unsicher oder Spam markiert, aber dennoch akzeptiert werden sollen
+all => Pass: was bedeutet, dass jeder Server E-Mails im Namen Ihrer Domain senden kann
?all => Neutral: die Direktive definiert Sender, über deren Legitimität nichts ausgesagt werden soll; der Sender muss so behandelt werden, als wenn kein Qualifikator angegeben wäre

Teile diesen Beitrag: