Um einen Mailcow Mailserver ordentlich zu betreiben, sind ein paar weitere Kniffe nötig als nur die Software installieren. Bei SPF, DKIM und DMARC dreht sich alles um Sicherheit und Identität. Alle drei haben eine verschiedenen Aufgabe und stellen den Mailserver im Internet gut dar. Denn ganz wichtig, denkt immer daran wenn Ihr einen eigenen Mailserver betreibt, dieser muss auch mal mit den ganz großen kommunizieren und die wollen von euch Informationen bevor die eine E-Mail entgegen nehmen und diese als Gut einschätzen.

SPF – Sender Policy Framework erklärt

SPF verhindert das fälschen von E-Mailadressen. In Fachkreisen auch Spoofing genannt. Also Beispielsweise irgendjemand schickt eine gefälschte E-Mail mit eurer Domain. Dann schaut der Empfänger Mailserver in eure DNS Einträge und prüft ob der Absenderserver euer ist. In diesem Beispiel ist das dann nicht der Fall und der Server lehnt die Mail ab.

Vereinfacht ausgedrückt, ein Empfängermailserver prüft ob der Absender wirklich Besitzer dieser Domain ist. Damit SPF läuft, ist lediglich ein DNS Eintrag in euer Domain nötig. Ein Text Eintrag der folgend aussieht.

Name: @
Typ: TXT
Wert: v=spf1 mx a -all

Wer noch ein bisschen mehr auf Nummer Sicher gehen möchte gibt dem SPF Wert noch seine IP-Adresse des Servers mit, dann sieht der Eintrag so aus.

Name: @
Typ: TXT
Wert: v=spf1 ip4:<DEINE-IP4-ADRESSE> ip6:<DEINE-IP6-ADRESSE> mx a -all
Netcup SPF Eintrag
Netcup SPF Eintrag

DKIM – Domain Keys Identified Mail erklärt

Ich versuche es ja immer verständlich zu erklären, deswegen bei DKIM ebenfalls. Also wenn Ihr DKIM aktiviert habt auf eurem Server, dann jeder versendeten E-Mail ein DKIM Schlüssel angehängt. Dieser befindet sich im E-Mailheader und ist für dich den Absender und dem Absender im E-Mailprogramm so erstmal nicht ersichtlich. Alle Mailserver diese sich beim Transfer mit dieser E-Mail beschäftigen, sehen diesen DKIM Header und starten eine Überprüfung.

Der E-Mailserver findet diese DKIM Verschlüsselung und schaut wieder in die DNS Einstellungen vom Domaininhaber. Dort befindet sich der PublicKey des DKIM Schlüssels. Wenn der Mailserver nun den Header lesen kann, mit Hilfe des PublicKeys der sich in euren DNS Einstellungen befindet, dann wird er diese E-Mail auch verarbeiten.

Weitere Vorteil gegenüber SPF ist noch, das der DKIM Header auch über Weiterleitungshosts geprüft werden kann.

Mailcow DKIM Key
Mailcow DKIM Key
Name: dkim.domainkey
Typ: TXT
Wert: v=DKIM1;k=rsa;t=s;s=email;p=MIIBIjANBgkqhki.............................................................
DKIM Eintrag bei Netcup
DKIM Eintrag bei Netcup

DMARC – Domain-based Message Authentication Reporting Conformance erklärt

Wat für ein langer Name von DMARC. Aber eigentlich ziemlich cool dieses DMARC. Erstmal wichtig, für DMARC ist SPF und/oder DKIM die Voraussetzung. Bestenfalls solltet Ihr sowieso beide Einträge haben.

DMARC ist der Eintrag, der dem Empfängerserver mitteilt was mit einer E-Mail passieren soll wenn diese als abgelehnt durch SPF und DKIM passieren soll. In diesem DNS Eintrag packt Ihr auch eine E-Mail von euch rein und über diese werdet Ihr sogar automatisch informiert wenn irgendwo in der Welt eine E-Mail von euch als Spam auftaucht.

In dem Eintrag versteckt sich auch eine Option um dem Server mitzuteilen was mit einer vermeidlichen Spam Mail passieren soll. Der Eintrag P steuert dieses Verhalten. p=none, p=quarantine, p=reject. Ich empfehle euch den Eintrag p=quarantine. Vergesst beim DNS Eintrag bitte nicht den führenden Unterstrich.

Name: _dmarc
Typ: TXT
Wert: v=DMARC1;p=quarantine;rua=mailto:monitoring@schroederdennis.de
Netcup DMARC Eintrag
Netcup DMARC Eintrag

Quellen: Mailcow Dokumentation