dns Zonendatei mit SPF, DKIM

[Norbert Gerhards]

Moin Max,

vielen Dank fürs Reinschauen und die zusätzlichen Anregungen
und Kommentare.

Die Kundensituation ist aus meiner Sicht herausfordernd:
Der Mailserver ist ein Exchange on-premises. :-(

Der (Master-)Nameserver steht auch beim Kunden und läuft
stabil unter debian-8(!) mit einem bind9. Leicht veraltet.  ;-/
[Deshalb wollte ich jemand mit Ahnung auf die von mir modifizierte
Zonendatei schauen lassen.
Ist z. B. das '@' in Zeilen mit 'IN TXT' auch richtig?]

Aber: Er hat ne aktuelle SecurePoint Firewall UTM, und die kann
für ausgehende Mail DKIM draufpacken. ;-)
[Deshalb lasse ich den'selector_mit_Datum' drin, sonst erkennt
die UTM ihr eigenes Konstrukt nicht mehr!]

Ich bin also bei diesem Kunden fast komplett ausserhalb meiner
Linux/Postfix/Dovecot-Komfortzone und muss mich am Machbaren
orientieren; also kein SA/Amavis, policyd, rspamd...

Und mein Kunde hat genau einen (1) Kunden, der seine Mails nicht
annimmt, weil SPF und/oder DKIM fehlten (eine US-Kanzlei).

Tja, es gibt schon interessante Aufgaben.

Nochmals herzlichen Dank für die Hilfe,

Norbert



Am 19.01.2023 um 16:42 schrieb Max Grobecker via Postfixbuch-users:
> Moin,
> 
> 
> Am 19.01.2023 um 13:46 schrieb Norbert Gerhards:
> 
>> Könnte ein Kundiger bitte mal die Syntax für die beiden
>> Einträge checken?
> 
> Sieht syntaktisch auf den ersten Blick korrekt aus. Es kann - abhängig 
> vom DNS-Server - sein, dass du Semikolon mit Backslash escapen musst, 
> aber das wäre das einzige.
> 
> Als Tipp: Ich verwende mittlerweile bei neuen Setups Selektoren, die 
> nicht mit dem Datum benannt sind sondern einen fixen Namen haben, der 
> sich später nicht ändern wird.
> Man kann problemlos mehrere Keys unter dem selben Namen anlegen und so 
> einen Key-Rollover durchführen, indem man ein paar Wochen lang die neuen 
> und alten Schlüssel parallel im DNS lässt.
> Allerdings hat es den Vorteil, dass man, wenn man weitere Domains oder 
> auch Subdomains mit dem selben Selektor betreiben will, einfach per 
> CNAME auf den statischen Namen verweisen kann.
> 
> 
>> Und: Ich meine mich aus Peers Postfixbuch dumpf zu erinnern,
>> dass er das -all im SPF elegant wieder mit ?all ausgehebelt
>> hatte, um Weiterleitungen über andere Provider etc. zu ermöglichen.
>> Ist dies noch Stand des (SPF-)Wissens?
> 
> Ich benutze gerne "~all" und verwende SPF als reine Whitelist.
> Neben DKIM habe ich DMARC-Records eingerichtet, um darüber zu steuern 
> was mit unautorisierten Mails passieren soll.
> Das kann man auch Anfangs sehr gut zum Monitoring nehmen, ob es weitere 
> legitime Server gibt, die der Kunde nicht auf dem Schirm hat.
> 
> Ein DMARC-Record zum Testen sähe dann z.B. so aus:
> 
> ---------------------------------------------
> @      IN         TXT        "v=DMARC1; p=none; sp=none; pct=100; 
> adkim=r; aspf=r; rua=mailto:dmarc-reports at deinedomain.tld; ri=86400; 
> fo=0:1:d:s;"
> ---------------------------------------------
> 
> Du erhältst dann an dmarc-reports at deinedomain.tld E-Mails mit Reports, 
> von welchen IP-Adressen E-Mails unter der Domain empfangen wurden und ob 
> SPF/DKIM gültig war.
> Darüber kannst du dann später auch die Policy festlegen, was mit 
> unautorisierten E-Mails passieren soll. Das funktioniert deutlich besser 
> als "-all" bei SPF.
> Wichtig: Die Mailadresse muss unter der selben Domain liegen. Wenn 
> E-Mails an eine Adresse unter einer abweichenden Domain gesendet werden 
> sollen, muss das in der DNS-Zone der Empfängerdomain durch entsprechende 
> Einträge autorisiert werden - für den Anfang wäre es also einfacher, die 
> RUA-Mailadresse unter der selben Domain anzulegen :-)
> 
> 
> Viele Grüße
>   Max