DKIM Einstellungen

Status
Für weitere Antworten geschlossen.

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Liebes Forum,

ich benötige dringend Unterstützung bei der Einrichtung von Mail Plus.

1. DKIM
Ich bekomme bei einem Prüftool folgende zwei Meldungen:
0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily valid
0.0 T_DKIM_INVALID DKIM-Signature header exists but is not valid

Was ist falsch und wo muss ich da ansetzen?

2.
Wenn ich für die Domain "Domain.de" die Subdomain "mail.domain.de" für den Betrieb meines E-Mail-Servers (DS) nutze, muss ich dann die DNS-Einstellungen (MX-Eintrag, TXT etc.) bei meinen Anbieter (1&1) sowohl bei der Domain als auch bei der Subdomain identisch eintragen? Oder nur bei einer der beiden (ggf.: bei welcher?). Bislang habe ich bei beiden identische Einträge, evtl. gibt es ja hier eine Verbindung zur unter 1. genannten Fehlermeldung?!

3.
Falls ich entweder bei der Domain oder der Subdomain Eintragungen vornehmen muss (siehe 2. Frage), wie wird dann der Reverse DNS Eintrag gesetzt (Feste IP bei Vodafone)? Domain oder Subdomain (falls Letzteres überhaupt möglich)?
 
Zuletzt bearbeitet:

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
ah hier ist der DKIM Beitrag. Wenn möglich nicht in anderen Threads crossposten und wenn dann klatsch einen Link auf deinen eigentlichen Thread rein.
Wichtig wäre bei DKIM die Frage: handelt es sich hierbei um Nachrichten die VON deinem Server nach aussen gehen? Oder um Nachrichten, welche AN deinen Server geschickt werden? Ich persönlich würde empfehlen auf DKIM zu verzichten, da es recht komplex zum korrekten Einbau/Verwendung ist

2. kommt drauf an ob du Nachrichten @domain.de oder auch @mail.domain.de empfangen willst Nur in letzterem Fall braucht es eigene MX Records für die Sub
3. grundsätzlich ist beim Mailversand ein fcRDNS zu empfehlen für den Mailserver (https://de.wikipedia.org/wiki/Forward-confirmed_reverse_DNS) d.h. wenn deine IP einen PTR auf den Namen host.example.com hat, dann sollte host.example.com wiederum auf die IP Adresse auflösen. So stimmt Vorwärts- und Rückwärtsauflösung überein und das mögen empfangende Mailserver meist :)
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
WOW!
Vielen Dank für die rasche und kompetente Antwort.

Zu 1.
Ich habe das Problem, dass einerseits einige Mails gar nicht bei mir eingehen (auch nicht im SPAM-Ordner), und andere Mails bei Anbietern wie Hotmail oder Gmail dort in SPAM-Ordnern landen. Wenn ich DKIM (und SPF) gar nicht nutze, bekomme ich von Gmail etc. eine Fehlermeldung, dass die Mail nicht zugestellt werden konnte. Daher war ich bislang der Meinung, dass ich SPF und DKIM jedenfalls benötige. Irrtum also?

Ich habe das Potral mail-tester.com ausprobiert und bekomme dort ein (grundsätzlich) positives Ergebnis (10/10).

Allerdings scheint nicht alles zu passen:


-0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily valid
Das negative Ergebnis wird positiv, sobald die Signatur validiert ist. Sehen Sie schnell unten weiter.
0.1 DKIM_VALID Message has at least one valid DKIM or DK signature
Wunderbar! Ihre Signatur ist gültig.
0.1 DKIM_VALID_AU Message has a valid DKIM or DK signature from author's domain
Großartig! Ihre Signatur ist gültig und sie kommt von der Domain
-0.001 HTML_MESSAGE HTML included in message
Keine Sorge, damit ist zu rechnen, wenn Sie HTML-Emails versenden
0.001 SPF_HELO_PASS SPF: HELO matches SPF record
0.001 SPF_PASS SPF: sender matches SPF record
Wunderbar! Ihr SPF-Eintrag ist gültig.
0.01 T_RP_MATCHES_RCVD Envelope sender domain matches handover relay domain

--> Gerade mit der ersten Fehlermeldung kann ich nichts anfangen. Wie oder wo muss den die Signatur durch wen validiert werden?

Bei einem anderen Portal bekam ich noch die Meldung, dass die Signatur des Headers nicht stimme.

Im Prinzip geht es mir darum, die Einstellungen am MailPlus Server bzw. beim DNS so zu setzen, dass ALLE Mails rein und rausgehen und der SPAM-Filter moderat eingestellt seine Arbeit macht. Wenn ich dazu DKIM weglassen kann, herzlich gern!

Ganz herzlichen Dank für die Hilfe!!
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
wenn Hotmail oder Gmail keine Nachrichten ohne DKIM resp SPF akzeptieren würden, dann hätten die nicht mehr viel zu tun auf ihren Mailservern ;-)
Ohne die Originalfehlermeldung von Gmail ist es schwierig zu sagen woran es liegen könnte. Meist passt Gmail die sendende IP Adresse ned
Allerdings scheint nicht alles zu passen:
woraus genau schliesst du das?
Das Scoring des Tests ist etwas komisch: wieso gibt DKIM_SIGNED Minuspunkte und DKIM_VALID_AU Pluspunkte. Müsste wennschon genau umgekehrt sein :)
Ich würde nach Möglichkeit DKIM ganz weglassen, SPF hingegen würde ich empfehlen und zwar mit einem -all Record (alles andere wäre sinnfrei und man könnte SPF genau so gut weglassen)

Du darfst gerne mal eine Mail an tobster@brain-force.ch schicken, dann kann ich dir sagen wie diese Nachricht von meinen Server gesehen wird
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Vielen Dank!
Test-Mail ist an deinen Server gegangen. Bin gespannt.

Viele Grüße und vor allem Dankeschön!
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Die Mail ist mit -3.8 Punkten bei mir angekommen. Dkim und SPF sind i.O.
Dieser Score ist allerdings inkl Abzug für BAYES_00 was du bei normalen Mails u.U. nicht haben wirst. Ohne den Abzug hätte die Mail 0.7 Punkte gehabt. Also auch sauber
Deine IP hat einen fcRDNS was sehr gut ist. Auch steht die IP auf keiner grossen Blackliste, welche ich einsetze.
Von daher alles im grünen Bereich.

Ohne die Fehlermeldung ist es allerdings unmöglich zu sagen wieso Gmail abgelehnt hat
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Vielen Dank für die Analyse.

Werde am Wochenende Gmail mal erneut testen, in der Fehlermeldung stand (Auszug):

Our system has detected that this 550-5.7.1 message does not meet IPv6 sending guidelines regarding PTR records 550-5.7.1 and authentication. Please review 550-5.7.1 https://support.google.com/mail/?p=ipv6_authentication_error for more 550 5.7.1 information. cg6si7581605wib.28 - gsmtp (in reply to end of DATA command)
Evtl kannst du damit ja etwas anfangen..
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Ergänzung:
Bei meinem Internetprovider werden mir bei der ReverseDNS Eingabe für die IPv6 Adresse 5 zur Auswahl gestellt. Ich habe da die erste ausgewählt und diese bei den DNS Einstellungen meines Domain Anbieters (MX-Eintrag) für die IPv6 Adresse eingefügt.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Dort steht ein wichtiges Stichwort: ipv6 :) Ich habe nur v4 auf meinen Servern daher sehe ich nicht denselben ptr/ip wie google. Wenn du kannst dann deaktiviere ipv6 auf deinem Postfix. Dazu gibt es hoffentlich eine Einszellung im GUI, sonst setzt du in main.cf resp deren Template
Code:
inet_protocols = ipv4
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Ist mir etwas zu hoch, sorry. Kannst du das mit einfacheren Worten erklären? Wo (DS, FritzBox, DNS etc.) muss ich dies einstellen? Die FritzBox ist von KD gemietet, weiß gar nicht, ob ich da IPv6 deaktivieren könnte.
Bräuchte wirklich eine für mich verständlichere Anleitung..

Bin aber bereits sehr dankbar für die bisherige Hilfe..
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Wo (DS, FritzBox, DNS etc.) muss ich dies einstellen?
auf deinem SMTP Server, was wohl deine Diskstation sein düfte. Dort sollte es eine Template Datei namens main.template unter /volume1/@appstore/MailServer/etc/template/ geben. Sonst danach suchen z.B.
Code:
find /volume1/@appstore -type f -name main.template
in dieser Datei fügst du die inet_protocols Zeile ein.
Hier hats mal ein User schön detailliert beschrieben. Du musst einfach eine andere Zeile einfügen als dort beschrieben.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Herzlichen Dank! Dann werde ich mich am Wochenende mal ans Werk machen!
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Hallo.
Ich bin über meinen Mac via Terminal bis zum Editieren der Datei main.template gekommen, nach Änderung des Eintrags kann ich aber nicht speichern (Readonly). Wie kann ich das ändern?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
du musst die SSH Verbindung mit dem User root aufbauen z.B.
Code:
ssh root@IP_DER_DS
Leider gibt es keinen Passwort Login mehr für root. Also entweder auf Cert Login umstellen (siehe den verlinkten Thread) oder sudo verwenden
oder wenn du als admin angemeldet bist mittels
Code:
sudo vi /pfad/zur/datei
wobei ich mangels aktuellster Firmware beim sudo nicht ganz sicher bin ob es den gibt, aber gemäss diesem (recht umfangreichen) Thread müsste das der Fall sein
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Hat geklappt! Klasse! Danke!!
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Keine Fehlermeldung mehr von Gmail!! TOP!

Wenn ich darf, würde ich gern noch zwei letzte Fragen stellen:

1. Nachdem ich DKIM und DMARC deaktiviert habe, lande ich bei hotmail (und möglicherweise bei anderen Anbietern) im SPAM-Ordner. Gibt es da einen "einfachen" Lösungsweg, oder ist das der Preis für das Weglassen von DKIM/DMARC?

2.
Verschiedene Mails erreichen den Server erst gar nicht (Absender z. B. von Dyn.com (möchte meine neue E-Mail-Adresse (vom privaten Mail-Server hinterlegen), andere landen beim MailPlus-Server--> Bedrohungsmonitor-->Eingehend! Wie kann ich diesen geblockten Mails (Absendern (zukünftig) erlauben, zugestellt bzw. zugreifen zu dürfen? Z. B. habe ich bei dnsstuff.com einen E-Mail-Test durchgeführt. Ergebnis:

sub.domain.example. - xx.xxx.xx.xxx [Could not connect: Got an unknown RCPT TO response: 504 5.5.2 <WORLD>: Helo command rejected: need fully-qualified hostname
]

Immer noch etwas falsch eingestellt? (schon 3 Fragen)..;-)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
1. wie gesagt, wenn ein Server eine Nachricht ablehnt oder als Spam taxiert nur weil kein DKIM/SPF/DMARC eingesetzt wird, dann ist dies geistiger Dünnschiss seitens der Betreibers des Empfangsservers
2. das verstehe ich jetzt nicht so ganz :)
Got an unknown RCPT TO response: 504 5.5.2 <WORLD>: Helo command rejected: need fully-qualified hostname
diese Meldung besagt, dass der Empfangsserver einen fully-qualified Hostnamen im HELO erwartet aber nur WORLD bekommen hat. Das ist kein FQDN, denn ein solcher muss mindestens einen Punkt (.) haben und mindestens aus Domain und TLD bestehen.
Also world.com wäre FQDN oder auch world.bla
Wobei letzteres wohl FQDN ist, aber trotzdem entgegen der RFC für Mail wäre. Die legen in RFC 5321 unter 2.3.5 fest
Only resolvable, fully-qualified domain names (FQDNs) are permitted when domain names are used in SMTP.
und world.bla würde zwar FQDN erfüllen aber nicht "resolvable"
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Hmm. Ich verwende gar keinen Namen mit "WORLD"...!? Erklärt sich mir also nicht. Suche mal...

Und wie kann ich Mails, die bei MailPlus-Server--> Bedrohungsmonitor-->Eingehend blockiert werden, zukünftig durchlassen?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
nicht DU verwendest WORLD, sondern der sendende Server, der scheinbar bei dir blockiert wurde ;-)
Solche Nachrichten würde ich nicht durchlassen, ist garantiert Spam/Virus oder allenfalls ein strunzdummer Emailtester
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Wer lesen kann, ist klar im Vorteil..;-)

Zu guter Letzt (weil du immer noch nicht drauf eingegangen bist..:) :

Und wie kann ich Mails, die bei MailPlus-Server--> Bedrohungsmonitor-->Eingehend blockiert werden, zukünftig durchlassen? Einfach in die Whitelist mit aufnehmen?

Ich sage jetzt schonmal danke und werde dich nicht weiter mit meinen "kleinen Sorgen" bemühen. Du hast mir schon genug geholfen. Wie gesagt: Nochmals einen ganz herzlichen Danke für deine Geduld und tolle Hilfe!!

Ein schönes Wochenende!!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat