Dkim Verständnisprobleme

1. offizieller Beitrag

    Nachdem Web.de und Gmx jetzt nur noch Dkim signierte Mails haben wollen und das ganze nicht wirklich reibungslos läuft musste ich mal auf Ursachenforschung gehen.


    Szenario: Multiserver Setup mit einzelnem Mailserver und mehreren Webservern.

    Dkim ist eingerichtet mit externem DNS und funktioniert auch mit Mails die normal über den Mailaccount verschickt werden.


    Nun habe ich 2 Problemfelder.

    Erstmal weitergeleitete Emails. Was kann man damit machen? Die erhalten ja keine Dkim Signatur!?

    Die abzustellen und zu zwingen das sie es über Web.de per Sammeldienst machen ist bei vielen Kunden eher schwierig zu vermitteln.


    Und PHP Mails aus Formularen und sonstigen Scripten.

    Die werden ja auch nicht signiert oder!? Zumindest konnte ich noch keine sone Funktionalität entdecken.




    Ist das jetzt ein Problem das jeder hat und wenn ja wie geht ihr damit um?

    Oder ist bei mir nur irgendwas verhunzt und es sollte sich überall includieren?

    Hallo,


    DKIM hat mit Weiterleitungen nichts zu tun: die DKIM-Signatur wird beim Ursprungsserver eingefügt. Mails ohne DKIM, die weitergeleitet werden, bleiben auch so.


    Wir haben Weiterleitungen zu GMX/Webde/Gmail usw bei uns komplett unterbunden (blacklisted). Bestehende Weiterleitungen blieben aktiv.


    PHP-Mails sind ein Problem - in jeglicher Umgebung. Die Empfehlung ist hier, dass diese als "Default" gehen - aber signiert wird nichts. Kunden sind angehalten, SMTP zu verwenden. Und dort gibt's dann ja auch DKIM.

    Zitat von antondollmaier

    Wir haben Weiterleitungen zu GMX/Webde/Gmail usw bei uns komplett unterbunden (blacklisted). Bestehende Weiterleitungen blieben aktiv.

    Interessehalber: Innerhalb von LiveConfig blacklisted, so das Kunden beim Versuch der Konfiguration auf eine GMX/Web.de Adresse auch direkt angezeigt bekommen, das dies nicht erlaubt ist? Falls ja, wo wird dies konfiguriert?

    • Offizieller Beitrag

    Wir haben uns übrigens kürzlich - "aus Gründen" - erneut mit dem Thema SRS beschäftigt. Fazit: das ist noch kaputter als je zuvor. Zudem gibt es keine gebrauchsfertige SRS-Software, welche wirklich alle Aspekte bei der Weiterleitung von E-Mails berücksichtigt.

    Das eine oder andere Panel setzt auf PostSRS. An sich eine ordentliche Software (auch wenn die .deb-Pakete derzeit keinen Maintainer haben), aber da wird für den Rewrite leider der Hostname (!) verwendet und nicht der Name der jeweiligen Kundendomain. Für's Hosting also ein absolutes No-Go. Zudem werden in der Standardkonfiguration alle Mails umgeschrieben, also auch lokal zugestellte Mails.

    Und als SRS entwickelt wurde, spielte DMARC noch keine Rolle. DMARC und SRS schießen sich leider gegenseitig ins Knie. Für ein sauberes SRS müssten idealderweise abhängig vom DMARC-Record des Absenders (!) und des DKIM-Signaturumfangs die DKIM-Header vollständig entfernt werden, und dann durch ggf eine eigene DKIM-Signatur ersetzt werden. Und weil das alles noch nicht kaputt genug ist, wurde ARC als Krücken-Krücke dazu gebaut.

    Fazit: Weiterleitungen sind immer problematisch.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden