ISPConfig Mailserver richtig konfigurieren und anpassen - mit DKIM, SPF, rDNS, DMARC, DNS

Administratoren müssen im Betrieb von E-Mails einiges beachten und auch Konfigurieren. Dies gilt besonders dann wenn wir unsere Domains beim Provider DNS Hosten und E-Mails versenden wollen. Dieses Tutorial richtet sich nicht nur an ISPConfig sondern hat eine allgemeine Gültigkeit. Wollt Ihr meine Arbeit hier unterstützen, so lasst einfach ein Abo auf Youtube da oder kauft einfach einen meiner Udemy Kurse die in Aktion sind über meine Webseite. So fangen wir nun an mit der Einrichtung.

Dieses Video ansehen auf YouTube.

Hostname - FQDN richtig setzen

Die Wahl des richtigen FQDN (Full Qualified Domainname) Hostnamen muss gesetzt werden. Dies geschieht in den Dateien /etc/hosts und /etc/hostname. FQDN bedeutet die Domain muss aus drei teilen bestehen. Ein FQHN eines Rechners mit dem Hostnamen „vps“ mit der Domain „animate.at“ kann durch den der FQDN „vps.animate.at“ bezeichnet werden. Auch ist es wichtig für viele Anwendungen auch dem localhost bzw der lokalen IP Adresse diese zuzuweisen (z. B. „192.168.0.123“). In meinem Beispiel bei dem VPS Server von Netcup (Gutscheine zu Netcup gibt es hier).

Wichtig bei der hosts Datei zu beachten ist das der Hostname nochmals hintendrin steht, im Beispiel "vps".

cat /etc/hosts
127.0.0.1	localhost
127.0.1.1	vps.animate.at vps

::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
194.13.82.3	vps.animate.at vps

In der hostname Datei wird lediglich in einer Zeile der FQDN angegeben.

cat /etc/hostname
vps.animate.at

Im Anschluss den Server Rebooten und überprüfen ob der Hostname richtig erscheint. z.B. mit hostnamectl oder hostname -f

rDNS

Der rDNS (Reverse DNS) Eintrag spielt eine wichtige Rolle beim Mailserver. Dieser muss übereinstimmen mit dem FQDN vom System. Im Beispiel müssen wir den rDNS Eintrag ebenfalls auf vps.animate.at setzen. Diese Einstellung wird im Administrations Interface des Providers gesetzt und nicht bei der Domain. Im Bild zu sehen das Netcup Panel mit den rDNS Einstellungen.

DNS Einstellung der Domain

Damit auch die Domain "animate.at" weiß wohin die E-Mails gesendet werden sollen welche an den Server vps.animate.at gehen, müssen wir einen speziellen A Eintrag und MX Eintrag für Mail setzen. Im Beispiel sind noch keine Einträge für SPF, DKIM, DMARC gesetzt.

easyname animate

ISPConfig E-Mail Domain und Postfach anlegen

Ab jetzt ist der Server für E-Mail empfangsbereit. Um dies zu testen müssen wir die E-Mail Domain anlegen und ein Postfach erstellen. Danach können wir mit dem Webmail darauf zugreifen und eine Testemail versenden.

Schritt 1 - Mail Domain anlegen
Schritt 2 - E-Mail Postfach anlegen
Schritt 3 - Testen mittels Vorinstallierten Webmail oder E-Mail Client

Wenn das geklappt hat können wir ab jetzt E-Mails am Server nutzen. Es gibt jedoch noch weitere Einstellungen die wir unbedingt machen sollten um den E-Mail-Verkehr Sicherer und vor allem Zuverlässiger zu gestalten. Das wären die DKIM, SPF und DMARC Einstellungen, diese sind bei manchen Providern eine Voraussetzung dafür das eure E-Mails zugestellt werden. Zudem sollten wir auch den Server überprüfen ob dieser nicht auf einer Blacklist gelandet ist.

DKIM

DomainKeys, auch bekannt unter DomainKeys Identified Mail (DKIM), ist ein Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern. Es wurde konzipiert, um bei der Eindämmung von unerwünschter E-Mail wie Spam oder Phishing zu helfen.

In der ISPConfig E-Mail Domain Einstellung, finden wir die Option einen DKIM Key erstellen zu lassen. Einfach ein Klick auf DKIM und dann Aktivieren und die Schlüssel erstellen lassen. Den unteren teil kopieren wir uns dann für die DNS Einstellungen heraus und tragen diese in der Domain ein.

Nachdem alle Einträge gemacht wurden, können wir dies ebenfalls überprüfen mit dem DKIM Checker von MxToolBox

SPF

Das Sender Policy Framework (SPF; früher Sender Permitted From) ist ein Verfahren, mit dem das Fälschen der Absenderadresse einer E-Mail verhindert werden soll, genauer das Versenden von E-Mail über nicht legitimierte Mail Transfer Agents (MTAs) unterbindet. Es entstand als Verfahren zur Abwehr von Spam. Bei SPF trägt der Inhaber einer Domain in das Domain Name System ein, welche Adressen von MTAs zum Versand von E-Mails für diese Domain berechtigt sind. Nutzt am einfachsten einen SPF-Generator wie von MxToolBox. Die Einträge sind mit dem Generator schnell erstellt und können wir in den DNS Einstellungen der Domain vornehmen.

DMARC

DMARC ist die Abkürzung für „Domain-based Message Authentication Reporting and Conformance“. Dieses Konzept wurde entwickelt, damit die empfangenden Mailserver nicht nur die Authentizität der E-Mails prüfen (mittels SPF und DKIM), sondern im Falle von negativen Prüfresultaten auch Maßnahmen ergreifen, die mit dem Inhaber der sendenden Mail-Domäne abgestimmt sind. DMARC ist eine zusätzliche Methode, welche die Wahrscheinlichkeit nochmals verringert, dass deine E-Mails im Spamordner landen. Hier werden letztendlich Regeln angegeben, welche vom Mail-Server des Empfängers beachtet werden sollen (z.B. dass die DKIM Überprüfung erfolgreich sein muss oder die Regeln der SPF Einträge)

Für den DMARC gibt es hier einen passenden guten DMARC Generator, ebenfalls von MxToolBox.

Für die Option von "p" , können wir drei unterschiedliche Angaben machen, was mit den Emails passieren soll wenn DMARC anschlägt. Erlaubt sind nonequarantine, oder reject.

Die Optionen rua und ruf dienen der E-Mail Adresse zur Übermittlung des Aggregate Reports und für forensische Analyse. Es gibt noch weitere Optionen welche die Ausrichtung an SPF ( aspf=r ) und DKIM ( adkim=r ) richten mit "r" = relaxed oder "s" als strict.

_dmarc.animate.at. TXT 10 v=DMARC1; p=reject; rua=mailto:admin@renefuerst.eu; ruf=mailto:admin@renefuerst.eu; fo=1

Nach den DNS Einträgen können wir den DMARC Check nochmals durchführen und erhalten dann eine positive Antwort. Lediglich die External Validation ist noch mit einem Hinweis versehen. Hier können wir angeben welche Externe Domain die Reports erhalten soll. Dies lässt sich bei bedarf auch ganz einfach in den DNS Einstellungen der jeweiligen Domain vornehmen, ist jedoch nicht zwingend notwendig.

DMARC External Validation

Da ich admin@renefuerst.eu als Reporting E-Mail Adresse ausgewählt habe, kann ich nun in den DNS einstellungen von renefuerst.eu den Eintrag vornehmen, dass mir die Domain animate.at DMARC Reports zusenden darf. Dies geschieht mit einem ganz einfachen TXT Eintrag bei renefuerst.eu mit der Domain für die Reports angefangen.

animate.at._report._dmarc.renefuerst.eu TXT v=DMARC1

Gratulation! Von nun an haben wir keinen einzigen Fehler mehr beim DMARC Check.

Blacklist Check

Als nächstes wäre dran die Blacklisten zu überprüfen. IP Adressen werden von verschiedenen Personen genutzt, handelt es sich hierbei um einen angemieteten Server von einem Provider, wurde die IP Adresse sicherlich schon mehrfach von anderen Personen benutzt. Hat eine dieser Personen einen Server betrieben der SPAM versendet hat, kann es durchaus passieren das die IP Adresse auf einer Blackliste landet. Nach einiger Zeit werden die IP Adressen automatisch wieder freigegeben, sollte kein weiterer SPAM mehr von dieser IP Adresse kommen. Manche Blacklisten jedoch erfordern ein manuelles eingreifen und explizite Freischaltung der IP Adressen. Dies lässt sich ebenfalls gut mit MxToolBox überprüfen und auch an Log Dateien am Server, können wir sehen ob eine Blacklist aktiv ist. Manche Blacklisten sind jedoch weniger schlimm als andere und kann man Ignorieren. Diese sind dann eventuell auf Provider basis und darauf haben die einzelnen Kunden einen Einfluss. Dies geschieht dann wenn vermehrt von einem Provider aus viele Spam Emails von Kunden ausgehen auf die der Provider selbst auch keinen direkten Einfluss hat. Details dazu lassen sich immer Anzeigen, auch mit Lösungsvorschlägen.

In meinem Fall ist ein Eintrag von der Liste UCEPROTECTL3. Kurz danach Googeln und Ausschau halten nach Delisting Optionen. Danach die Optionen abwägen ob es durchführbar ist und gegebenenfalls Delisten (von der Liste entfernen).UCEPROTECTL3 gibt verschiedene Level an, ob man selbst seinen Server aus der Liste austragen kann oder nicht. Bedenken Sie es handelt sich hier lediglich um eine von vielen Listen und es ist nicht immer leicht möglich von allen Entfernt zu werden.

Optional könnte man die IP / Domain auch auf Whitelist Services registrieren. Hier gilt es jedoch das die Blacklist Anbieter sich ein extra Geld verdienen wollen. Ich halte dies jedoch nicht für notwendig, sofern der Server richtig Konfiguriert ist mit SPF, DKIM, DMARC, rDNS etc.

Sie sehen es ist doch einiges an Aufwand einen eigene E-Mail Server zu betreiben. Ist jedoch einmal alles eingerichtet und funktioniert. Bedarf es in der Regel nur mehr Updates der Dienste, Domains und Überwachung nach Änderungen an den Protokollen bzw Blacklisten die man Einsetzen möchte.

Wenn Ihnen dieser Blog-Eintrag gefallen hat, würde ich mich freuen wenn Sie auch meinen Youtube Kanal besuchen und Abonnieren oder einen Udemy Aktions Kurs von mir kaufen um meine Arbeit zu unterstützen. Die Kurse und der Kanal sind so ausgelegt das Sie Ihnen zu jederzeit einen Mehrwert bieten an.

Viel Spaß damit! - Rene

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp