Hetzner - DokuWiki

KonsoleH:Mailsicherheit

Inhaltsverzeichnis

Mailsicherheit

* Hinweis: Diese Funktion steht derzeit nur auf bestimmten Servern zur Verfügung. Bitte senden Sie bei Bedarf eine Supportanfrage. Gerne prüfen wir die Möglichkeit für Ihren Server. *

Hier können Sie verschiedene Einstellungen zur Verbesserung der Sicherheit bzw. Authentizität Ihrer Mail-Domain treffen. In erster Linie gilt es hier zu verhindern, dass Spammer Ihre Domain zum Versand von E-Mails mit gefälschten Absenderadressen verwenden können. Hierzu stehen Ihnen mit DKIM und SPF-Records zwei Protokolle zur Sicherung der Authentizität Ihrer E-Mails zur Verfügung.

DKIM - DomainKeys Identified Mail

DKIM ist ein Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern. Hierbei wird mit Hilfe asymmetrischer Verschlüsselung eine Signatur an alle Ihre ausgehenden E-Mails angehängt, welche von empfangenden Mailserver überprüft und validiert werden kann. Somit kann festgestellt werden, ob eine Mail tatsächlich von Ihrer Domain versandt und auf Ihrem Weg nicht durch Dritte verändert wurde.

Wie funktioniert DKIM

Zur automatischen Signatur Ihrer E-Mails benötigen Sie ein Schlüsselpaar bestehend aus privatem und öffentlichem Schlüssel. Der private Schlüssel wird dabei auf dem Mailserver hinterlegt und zur Digitalen Signatur Ihrer E-Mails verwendet. Der öffentliche Schlüssel wird im Domain Name System für Ihre Domain veröffentlicht und kann von allen empfangenden Mailservern zur Überprüfung der Signatur abgerufen werden. Durch die Signatur kann nicht nur festgestellt werden, dass eine E-Mail tatsächlich von Ihrer Domain verschickt wurde, sondern auch, dass diese auf dem Weg nicht durch Dritte verändert wurde.

Wie unterscheidet sich DKIM von ähnlichen Verfahren wie PGP und S/MIME

Im Gegensatz zu PGP und S/MIME arbeitet DKIM auf Domain-Basis, d.h. es werden alle Absenderadressen Ihrer Domain validiert und nicht einzelne Absender bzw. Identitäten. Weiterhin finden sowohl Signatur als auch Prüfung direkt auf den jeweiligen Mailservern statt und nicht in Mailprogrammen. Sie benötigen somit keine zusätzlichen Plugins zur Nutzung von DKIM.

DKIM für Ihre Domain aktivieren

Mit einem Klick auf "DKIM aktivieren" wird automatisch ein neues Schlüsselpaar für Ihre Domain erzeugt und auf dem Mailserver hinterlegt. Zusätzlich muss der öffentliche Schlüssel auf den für Ihre Domain zuständingen Nameservern hinterlegt werden. Bei Verwendung der konsoleH Nameserver wird dieser unter Umständen ebenfalls automatisch hinterlegt. In allen anderen Fällen wird Ihnen der TXT-Record ausgegeben oder kann über "Erweiterte Einstellungen" eingesehen werden.

Den öffentlichen Schlüssel ins DNS eintragen

Konnte der DKIM-Record für Ihre Domain nicht automatisch hinterlegt werden (z.B. weil externe Nameserver verwendet werden), wird Ihnen nach Installation ein TXT-Record angezeigt (Sie können diesen auch jederzeit über "Erweiterte Einstellungen" einsehen). Dieser muss auf den für Ihre Domain zuständigen Nameservern hinterlegt werden. Der Eintrag sieht in etwa wie folgt aus:

default1707.domainkey IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzxnXfWIAua2/mV8ndem7t" "h4tltwqMe0nqmvhdyfutvN0i5JMEj5zXPyBx1TvZGYIASqmJ1PS0s4kqGH1zrxTFz5Zk4FlizYn7" "GcB069o/pHFOZqdwxLsuFQuGdkhvXUG4tc0TuTum8KpfNagxgIYLrYvetpcofg3xMJsWQKmun4jc" "XB3PoQmcRuUEvBbMCg3HGGqKBCoLt5JYYLii78vYyJfg7kQTJltfBru4Eandp+yPNGmiO5x2Ce2N" "70s8n2t0bNlTYdTA7YtG/5JHLzoqW+Xkm9n+u7nZhmhyQbu2qfUxbBbwAn8ev3AbTp7+4tyKSMoX" "lE14E3jFRNEM1kRjQIDAQAB"

Bitte beachten Sie: Bei dieser Darstellung handelt es sich um einen TXT-Record, welcher in mehrere Zeichenketten aufgeteilt wurde. In der Regel sollte dieser direkt im Zonefile hinterlegt werden können. Je nach Nameserver können hier jedoch unterschiedliche Formate nötig sein. Wenden Sie sich hierzu ggf. bitte an den Betreiber Ihres DNS-Dienstes.

Kann ich ein eigenes Schlüsselpaar verwenden?

Ja, dies ist möglich. Klicken Sie unter den "Erweiterten Einstellungen" auf "Neuen Schlüsesl generieren" und überschreiben Sie in der darauf erscheinenden Seite einfach das automatisch generierte Schlüsselpaar mit Ihren eigenen Keys. Achten Sie darauf, dass der private Schlüssel dabei nicht durch ein Passwort geschützt sein darf.

Wie kann ich einen Schlüssel austauschen?

Erstellen Sie zunächst unter "Erweiterte Einstellungen" > "Neuen Schlüssel erstellen" eine neues Schlüsselpaar, vergeben Sie einen geeigneten "Selector" (Schlüsselname) und klicken Sie auf "Schlüssel speichern". Nun öffnen Sie erneut "Erweiterte Einstellungen", wählen den neuen Schlüsesl anhand des Selectors aus und klicken auf "Schlüssel aktualisieren". Somit wird der private Schlüssel auf dem Mailserver hinterlegt. Bitte vergessen Sie nicht den öffentlichen Schlüssel ggf. im DNS zu hinterlegen (siehe "Den öffentlichen Schlüssel ins DNS eintragen").

SPF - Sender Policy Framework

SPF ist ein Verfahren, dass das Fälschen von Absenderadressen verhindern soll. Hierbei wird ein sogenannter SPF-Record im Domain Name System für Ihre Domain hinterlegt, welcher die für Ihre Domain zuständingen Mailserver festlegt. Somit können empfangende Mailserver überprüfen, ob eine E-Mail tatsächlich von einem authorisierten Mailserver Ihrer Domain verschickt wurde.

Hinweis: Bei Verwendung der konsoleH-Nameserver wird automatisch ein Standard SPF-Record für Ihre Domain hinterlegt.

Wie funktionieren SPF-Records

Ein SPF-Eintrag ist lediglich ein TXT-Record, in welchem die für Ihre Domain zuständigen Mailserver hinterlegt sind. Hierbei können einzelne IP-Adressen, ganze Adressbereiche oder Hostnamen hinterlegt werden. Im einfachsten Falle sind dies alle IP-Adressen, die in Ihrem Zonefile bereits eingetragen sind (alle A-Records bzw. MX-Records).

Den SPF-Record ins DNS eintragen

Bei Verwendung der konsoleH-Nameserver kann der erstellte SPF-Record direkt in das Zonefile geschrieben werden. Verwenden Sie hingegen externe Nameserver müssen Sie den angezeigten TXT-Record auf diesen hinterlegen. Bitte wenden Sie sich hierzu ggf. an den Betreiber Ihrer DNS-Dienste.

Probleme mit SPF-Records

Bitte beachten Sie, dass es unter Umständen bei Verwendung von SPF-Records zu Problemen kommen kann, wenn Sie Maildienste von nicht eingetragenen Mailservern nutzen. Dies ist beispielsweise häufig bei Mailinglisten der Fall, welche unter Umständen E-Mails in Ihrem Namen versenden und weiterleiten. Bei Problemen müssen Sie hier die entsprechenden Adressbereiche hinzufügen oder ggf. komplett auf die Verwendung von SPF verzichten. Weiterhin ist die Eintragung fester IP-Adressen mit Vorsicht zu genießen, da es z.B. im Falle von Serverumzügen zu ungültigen Einträgen kommen kann. Es empfiehlt sich daher generell die Einstellung der A- bzw. MX-Records zu setzen, da hierbei der SPF-Record immer aktuell bleibt.



© 2018. Hetzner Online GmbH. Alle Rechte vorbehalten.