MECSA: SPF, DKIM und DMARC bei Mailservern

Ich bin gestern über das Projekt My Email Communications Security Assessment (MECSA) der Europäischen Union gestoßen. Mit dem Online-Dienst, welcher unter https://mecsa.jrc.ec.europa.eu/ erreichbar ist, kann man die Sicherheit der E-Mail-Kommunikation zwischen Providern testen.

Da ich meinen Mailserver gestern umgezogen habe und dessen Bewertung bei anderen Providern verbessern sowie den E-Mail-Verkehr sichern wollte, fand ich dieses Tool recht hilfreich.

Im Grunde sind drei Verfahren / Techniken für eine gute Bewertung bei MECSA wichtig. Diese Verfahren müssen alle als TXT-Records beim DNS-Server der jeweiligen Domain eingerichtet werden.

SPF

Sender Policy Framework – gibt aus, welche Server E-Mails für die Domain versenden dürfen. In den meisten Fällen reicht der folgende TXT-Record hierfür völlig aus:

@                   IN TXT     "v=spf1 mx ~all"

Wer sich mehr damit befassen will, sollte am besten einfach mal seine Suchmaschine verwenden.

DKIM

DomainKeys Identified Mail –  hiermit will man im Grunde sicherstellen, dass die E-Mails auch wirklich von angegeben Absender kommen und nichts verändert wurde. Hierfür gibt es einen privaten und einen öffentlichen Schlüssel. Den öffentlichen Schlüssel hinterlegt man als TXT-Record auf den DNS-Server und der private Schlüssel wird auf dem Mailserver verstaut.

Manche Mailserversoftware wie z.B.: Mailcow haben zur Erzeugung der Schlüssel eine grafische Benutzeroberfläche.

DMARC

DMARC ist im Endeffekt das Verbindungsstück von  SPF und DKIM. Man gibt damit an, was passieren soll, wenn die E-Mail nicht SPF und DKIM entspricht und wer über die E-mail informiert werden soll.

MXToolBox bietet einen guten Generator die Erzeugung des TXT-Records an: https://mxtoolbox.com/DMARCRecordGenerator.aspx

Übrigens verwenden aktuell GMX, Web und 1&1 sowie viele andere deutsche Provider kaum die in diesem Post veröffentlichen Methoden und haben daher eine eher schlechte MECSA Bewertung.

Warum ich meine E-Mails jetzt einfach weiterleite …

Gestern Abend habe ich festgestellt, dass ich gar keine E-Mails der Form [email protected] oder [email protected] empfangen kann, da meine DNS-Einstellungen auf einen falschen Mailserver zeigen.

Also habe ich die Einstellungen geändert und versucht aus meinen Webserver einen Web + Mailserver zu machen: ich habe gestern Abend 3 Tutorials durchgemacht, die alle dafür gesorgt haben, dass mein Server nicht erreichbar war und ich auch keine Mails empfangen bzw.: versenden konnte.

Heute früh habe ich dann das 4 Tutorial ausprobiert und plötzlich gehen die Mailboxen und ich kann wieder Mails versenden, da ich aber immer noch keine Mails empfangen kann (obwohl ich alle notwendigen Pakete installiert hab), habe ich beschlossen, dass alle Mails jetzt an meine Google Adresse weitergeleitet werden. (Es gibt Wichtigeres, als den E-Mail Empfang – z.B.: die Weiterentwicklung meines CMS)

PS: Das WronnayCMS wird in der nächsten Version automatisch nach neuen Versionen suchen und die registrierten Benutzer per E-Mail aktivieren können.