dns Zonendatei mit SPF, DKIM

Max Grobecker max.grobecker at ml.grobecker.info
Do Jan 19 16:42:05 CET 2023 

Moin,


Am 19.01.2023 um 13:46 schrieb Norbert Gerhards:

> Könnte ein Kundiger bitte mal die Syntax für die beiden
> Einträge checken?

Sieht syntaktisch auf den ersten Blick korrekt aus. Es kann - abhängig vom DNS-Server - sein, dass du Semikolon mit Backslash escapen musst, aber das wäre das einzige.

Als Tipp: Ich verwende mittlerweile bei neuen Setups Selektoren, die nicht mit dem Datum benannt sind sondern einen fixen Namen haben, der sich später nicht ändern wird.
Man kann problemlos mehrere Keys unter dem selben Namen anlegen und so einen Key-Rollover durchführen, indem man ein paar Wochen lang die neuen und alten Schlüssel parallel im DNS lässt.
Allerdings hat es den Vorteil, dass man, wenn man weitere Domains oder auch Subdomains mit dem selben Selektor betreiben will, einfach per CNAME auf den statischen Namen verweisen kann.


> Und: Ich meine mich aus Peers Postfixbuch dumpf zu erinnern,
> dass er das -all im SPF elegant wieder mit ?all ausgehebelt
> hatte, um Weiterleitungen über andere Provider etc. zu ermöglichen.
> Ist dies noch Stand des (SPF-)Wissens?

Ich benutze gerne "~all" und verwende SPF als reine Whitelist.
Neben DKIM habe ich DMARC-Records eingerichtet, um darüber zu steuern was mit unautorisierten Mails passieren soll.
Das kann man auch Anfangs sehr gut zum Monitoring nehmen, ob es weitere legitime Server gibt, die der Kunde nicht auf dem Schirm hat.

Ein DMARC-Record zum Testen sähe dann z.B. so aus:

---------------------------------------------
@      IN         TXT        "v=DMARC1; p=none; sp=none; pct=100; adkim=r; aspf=r; rua=mailto:dmarc-reports at deinedomain.tld; ri=86400; fo=0:1:d:s;"
---------------------------------------------

Du erhältst dann an dmarc-reports at deinedomain.tld E-Mails mit Reports, von welchen IP-Adressen E-Mails unter der Domain empfangen wurden und ob SPF/DKIM gültig war.
Darüber kannst du dann später auch die Policy festlegen, was mit unautorisierten E-Mails passieren soll. Das funktioniert deutlich besser als "-all" bei SPF.
Wichtig: Die Mailadresse muss unter der selben Domain liegen. Wenn E-Mails an eine Adresse unter einer abweichenden Domain gesendet werden sollen, muss das in der DNS-Zone der Empfängerdomain durch entsprechende Einträge autorisiert werden - für den Anfang wäre es also einfacher, die RUA-Mailadresse unter der selben Domain anzulegen :-)


Viele Grüße
  Max

Mehr Informationen über die Mailingliste Postfixbuch-users