Schutz über DKIM, SPF und DMARC
In Plesk werden zahlreiche Lösungen zum Schutz vor Spam für die Validierung der Identität von E-Mail-Nachrichten unterstützt:
- DKIM (DomainKeys Identified Mail) ist eine Methode, über die mithilfe von Verschlüsselungsauthentifizierung die Identität eines Domainnamens mit einer ausgehenden Nachricht verknüpft und die Identität des Domainnamens einer eingehenden Nachricht validiert werden kann.
- SPF (Sender Policy Framework) ist eine Methode, um die Fälschung von Absenderadressen zu vermeiden. Damit soll zum Beispiel verhindert werden, dass falsche Absenderadressen eingesetzt werden können. Damit kann in Mailservern überprüft werden, ob eine eingehende E-Mail einer Domain von einem Host stammt, der vom Administrator der Domain autorisiert wurde. Außerdem wird in Plesk SRS (Sender Rewriting Scheme) eingesetzt, damit weitergeleitete Nachrichten die SPF-Überprüfung bestehen können.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) ist eine Technologie, mit der die Funktionen der SPF- und DKIM-Methoden erweitert werden. In der DMARC-Richtlinie wird festgelegt, wie der Empfänger abhängig von den Ergebnissen der DKIM- und SPF-Überprüfung E-Mail-Nachrichten behandeln soll.
Für diese Lösungen gelten folgende Mailserver-Anforderungen:
Mailserver | DKIM | SPF | SRS | DMARC |
---|---|---|---|---|
Postfix (Linux) | ➕ | ➕ | ➕ | ➕ |
qmail | ➕ | ➕ | ➖ | ➕ |
MailEnable Professional | ➕ | ➕ | ➖ | ➖ |
MailEnable Standard | Version 9.16 oder höher | ➖ | ➖ | ➖ |
SmarterMail | ➕ | ➕ | ➕ | ➕ |
IceWarp | ➕ | ➕ | ➕ | ➖ |
Mit dem Symbol „+“ in dieser Tabelle wird darauf hingewiesen, dass die Lösung von allen Versionen unterstützt wird, die von Plesk Onyx unterstützt werden. „-“ bedeutet hingegen, dass die Lösung nicht unterstützt wird.
DKIM
DKIM (DomainKeys Identified Mail) ist eine Methode zur Validierung der Identität eines Domainnamens, die mit einer Nachricht verknüpft ist. Ein Unternehmen kann so Verantwortung für eine gesendete Nachricht übernehmen, indem es eine automatisch generierte digitale Signatur an die Nachricht anhängt. Für die Validierung der Autorisierung der Signatur werden Verschlüsselungstechniken eingesetzt.
Damit DKIM unterstützt wird, werden in Plesk die Funktionen einer externen Bibliothek (Linux) oder eines von Plesk bereitgestellten Mailservers (Windows) eingesetzt.
Warnung: Wenn Sie einen externen DNS-Dienst verwenden, funktioniert die DKIM-Signatur für ausgehende Nachrichten, aber der Mailserver, der Nachrichten empfängt, kann diese nicht validieren. Um das Problem zu umgehen, können Sie den Plesk DNS-Server deaktivieren und einen entsprechenden DNS-Eintrag für DKIM zum externen DNS-Dienst hinzufügen. Damit kann der empfangende Server dann die Nachrichten validieren. Weitere Informationen zum Aktivieren der DKIM-E-Mail-Signatur für Domains, die einen externen DNS-Server verwenden
Aktivieren oder deaktivieren von DKIM auf dem Server
Wenn Sie die DKIM-Funktion auf Ihrem Server aktivieren möchten, gehen Sie zu Tools & Einstellungen > Mailserver-Einstellungen (in der Gruppe E-Mail) und scrollen Sie nach unten zum Abschnitt DKIM-Spamschutz. Über die folgenden Optionen können Sie DKIM auf Ihrem Server verwalten:
- Signieren ausgehender E-Mail-Nachrichten erlauben: Hierdurch können Kunden die Signierung ausgehender E-Mails über DKIM für jede Domain individuell aktivieren. Das Signieren aller ausgehender E-Mail-Nachrichten wird dabei nicht automatisch aktiviert. Um DKIM zu verwenden, müssen Benutzer DKIM für die einzelnen Domains aktivieren.
- Eingehende E-Mail-Nachrichten überprüfen (Plesk für Linux): Über diese Option können Sie festlegen, dass alle eingehenden E-Mails in Hinsicht auf DKIM überprüft werden. Alle Nachrichten werden überprüft. Falls eine E-Mail dabei die Überprüfung nicht besteht, wird sie mit einem besonderen Header gekennzeichnet.
Beachten Sie, dass alle Optionen unabhängig voneinander ausgewählt werden können. Sie können auch nur das Signieren ausgehender E-Mails oder die Prüfung eingehender E-Mails aktivieren oder beides zusammen auswählen.
Bemerkung: Wenn DMARC aktiviert ist, können Sie die Überprüfung eingehender Nachrichten über DKIM nicht deaktivieren.
Aktivieren von DKIM nach dem Plesk Upgrade
Wenn Sie ein Upgrade für Plesk Versionen vor Plesk Onyx durchführen, wird DomainKeys automatisch mit DKIM ersetzt. Falls die DomainKeys-Funktion in Plesk aktiviert war, gilt dies auch für DKIM.
Aktivieren der DKIM-E-Mail-Signatur für eine Domain
Wenn das Signieren über DKIM auf dem Server aktiviert ist (siehe den Abschnitt oben Aktivieren oder deaktivieren von DKIM auf dem Server), können Kunden ausgehende E-Mails für ihre Domains signieren.
So aktivieren Sie das Signieren durch DKIM für ausgehende E-Mails einer einzelnen Domain:
- Öffnen Sie das entsprechende Abonnement, um es zu verwalten.
- Gehen Sie zum Tab E-Mail > E-Mail-Einstellungen.
- Wählen Sie die Domain aus und klicken Sie auf Services aktivieren/deaktivieren.
- Wählen Sie für DKIM-Spamschutzsystem zum Signieren ausgehender E-Mail-Nachrichten die Option Aktivieren aus, und klicken Sie dann auf OK.
Bemerkung: Der DNS-Dienst muss auf der Domain aktiviert sein.
Nachdem Sie DKIM für eine Domain aktiviert haben, werden die folgenden beiden Einträge zur DNS-Zone der Domain hinzugefügt:
-
Default._domainkey.<example.com>
– enthält den öffentlichen Teil des generierten Schlüssels -
_ domainkey.<example.com>
– enthält die DKIM-Richtlinie
SPF und SRS
SPF (Sender Policy Framework) is a method used to prevent sender address forgery, i.e. using fake sender addresses. SPF allows a domain’s administrator to set a policy that authorizes particular hosts to send mail from the domain. A receiving mail server checks that the incoming mail from a domain comes from a host authorized by that domain’s administrator. SPF is based on the rules specified by the administrator in the sender’s DNS zone.
In Plesk können Sie eine SPF-Richtlinie für ausgehende E-Mails festlegen, indem Sie ein Regeln in einem DNS-Eintrag angeben. Unter Linux können Sie außerdem einrichten, dass eingehende E-Mails über SPF überprüft werden.
When SPF is set up, the mail server checks incoming mail using the following algorithm steps:
-
Read local rules.
Local rules are the rules used by the spam filter. An example local rule can be the following:
a:test.plesk.com
. -
Search for the sender’s DNS SPF record (if any).
An example SPF record can be the following:
example.com. TXT v=spf1 +a +mx -all
-
Concatenate the local rules and the SPF record into the resulting policy.
In our example, the resulting policy will be
example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all
.Bemerkung: If the mail server detects no SPF record, the resulting policy will comprise the local rules only.
-
Check mail against the policy resulting from the previous step.
-
Read guess rules.
Guess rules are the global rules that override the SPF record. An example guess rule can be the following:
v=spf1 +a/24 +mx/24 +ptr ?all
. -
Check mail against the guess rules only.
-
Compare the results of the two checks: the one made against the resulting policy (step 4) and the one made against the guess rules only (the previous step). Apply the check whose result is more permissive.
See more information on SPF check statuses.
So richten Sie eine SPF-Richtlinie für ausgehende E-Mails ein:
Gehen Sie zu Tools & Einstellungen > DNS-Template und bearbeiten Sie den TXT-DNS-Eintrag für SPF. Dieser DNS-Eintrag ist immer im serverweiten DNS-Template vorhanden. Hier finden Sie ein Beispiel des in Plesk erstellten SPF-Eintrags:
example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all
Eine Beschreibung der einzelnen Bestandteile des Eintrags finden Sie hier:
Bestandteil | Beschreibung |
---|---|
v=spf1 |
Für die Domain wird SPF der Version 1 verwendet. |
+a |
Alle Hosts der A-Einträge sind autorisiert, E-Mails zu senden. |
+mx |
Alle Hosts der MX-Einträge sind autorisiert, E-Mails zu senden. |
+a:test.plesk.com |
Von der Domain test.plesk.com können E-Mails gesendet werden. |
-all |
Von allen anderen Domains dürfen keine E-Mails gesendet werden. |
Read more about the syntax of SPF DNS records. The policy notation is available at RFC7208.
So aktivieren Sie die Überprüfung von eingehenden E-Mails über SPF auf einem Linux-basierten Server:
-
Gehen Sie zu Tools & Einstellungen > Mailserver-Einstellungen (in der Gruppe E-Mail). Der Bildschirm mit den serverweiten E-Mail-Einstellungen wird mit der Registerkarte Einstellungen geöffnet.
-
Aktivieren Sie im Abschnitt SPF-Spamschutz das Kontrollkästchen SPF-Spamschutz aktivieren, um eingehende E-Mails zu überprüfen.
-
Aktivieren Sie SPF-Überprüfung fortsetzen, wenn es Probleme mit der DNS-Suche gibt, wenn Sie möchten, dass die SPF-Überprüfung fortgesetzt werden soll, nachdem eine DNS-Suche fehlschlägt. Wenn in diesem Fall der Host nicht aufgelöst werden kann oder keine Einträge für SPF gefunden werden, finden möglicherweise die SPF-Schätzungsregeln Anwendung.
-
Wählen Sie eine Option aus dem Drop-down-Menü des SPF-Überprüfungsmodus aus, um festzulegen, wie E-Mails gehandhabt werden sollen, wenn für SPF lokale und Schätzungsregeln angewendet werden:
- Nur Received-SPF-Header erstellen, niemals blockieren: Alle eingehenden Nachrichten werden ungeachtet der Ergebnisse der SPF-Überprüfung angenommen.
- Benachrichtigungen über temporäre Fehler verwenden, wenn Probleme bei der DNS-Suche auftreten: Alle eingehenden Nachrichten werden ungeachtet der Ergebnisse der SPF-Überprüfung angenommen, selbst wenn die SPF-Überprüfung aufgrund von Problemen bei der DNS-Suche fehlgeschlagen ist.
- E-Mail abweisen, wenn Ergebnis der SPF-Abfrage „fail“ ist (verweigern): Nachrichten von Absendern, die nicht zur Verwendung der jeweiligen Domain autorisiert sind, werden zurückgewiesen.
- E-Mail abweisen, wenn Ergebnis der SPF-Abfrage „softfail“ ist: Nachrichten von Absendern werden zurückgewiesen, die vom SPF-System nicht als autorisiert erkannt werden können oder die nicht autorisiert sind, da für die Domain keine SPF-Einträge veröffentlicht sind.
- E-Mail abweisen, wenn Ergebnis der SPF-Abfrage „neutral“ ist: Nachrichten von Absendern werden zurückgewiesen, die vom SPF-System nicht als autorisiert erkannt werden können oder die nicht autorisiert sind, da für die Domain keine SPF-Einträge veröffentlicht sind.
- E-Mail abweisen, wenn Ergebnis der SPF-Abfrage nicht „pass“ ist: Nachrichten werden zurückgewiesen, wenn sie aus irgendeinem Grund die SPF-Überprüfung nicht bestehen (z. B. wenn die Domain des Absenders SPF nicht implementiert und die SPF-Überprüfung den Status „unknown“ zurückgibt).
-
Um lokale Regeln festzulegen, geben Sie die notwendigen Regeln in das Feld Lokale SPF-Regeln ein.Zum Beispiel: include:spf.trusted-forwarder.org.
Weitere Informationen zu SPF-Regeln finden Sie unter http://tools.ietf.org/html/rfc4408.
-
Sie können die Schätzungsregeln auch im Feld SPF-Schätzungsregeln angeben.
Zum Beispiel: v=spf1 +a/24 +mx/24 +ptr ?all
-
Um eine beliebige Fehlermeldung anzugeben, die an den SMTP-Absender zurückgegeben wird, wenn eine Nachricht zurückgewiesen wird, geben Sie diese in das Feld SPF-Erklärungstext ein.
Wenn kein Wert angegeben ist, wird der Standardtext als Benachrichtigung verwendet.
-
Klicken Sie auf OK, um die Einrichtung abzuschließen.
So deaktivieren Sie die SPF-Überprüfung für eingehende E-Mails:
- Gehen Sie zu Tools & Einstellungen > Mailserver-Einstellungen (in der Gruppe E-Mail). Der Bildschirm mit den serverweiten E-Mail-Einstellungen wird mit der Registerkarte Einstellungen geöffnet.
- Deaktivieren Sie im Abschnitt SPF-Spamschutz das Kontrollkästchen SPF-Spamschutz aktivieren, um eingehende E-Mails zu überprüfen.
Bemerkung: Wenn auf einem Linux-basierten Server DMARC aktiviert ist, können Sie die Überprüfung eingehender Nachrichten über SPF nicht deaktivieren.
Verwenden von SRS
Neben SPF unterstützen einige Mailserver in Plesk auch SRS (Sender Rewriting Scheme). Dabei handelt es sich um eine Methode, um die Absenderadresse einer weitergeleiteten E-Mail so umzuschreiben, dass die E-Mail weiterhin den Anforderungen von SPF entspricht. Mit SRS können Sie sich vergewissern, dass die Nachrichten auch beim Einsatz von SPF geliefert werden.
SRS wird automatisch verwendet, wenn Nachrichten von in Plesk gehosteten Postfächern weitergeleitet werden.
Um die SRS-Funktionalität bereitzustellen, werden in Plesk die Funktionen einer externen Bibliothek (Linux) oder einer Mailserver-Software (Windows) eingesetzt.
DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist eine Technologie, mit der die Funktionen der SPF- und DKIM-Senderichtlinien erweitert werden. In der DMARC-Richtlinie wird festgelegt, wie der Empfänger abhängig von den Ergebnissen der DKIM- und SPF-Überprüfung E-Mail-Nachrichten behandeln soll. Diese Technologie beruht auf den Regeln, die in der DNS-Zone des Absenders festgelegt werden.
In Plesk können Sie eine DMARC-Richtlinie für ausgehende E-Mails festlegen, indem Sie Regeln in einem DNS-Eintrag angeben. Außerdem können Sie DMARC aktivieren, um eingehende E-Mails auf einem Linux-basierten Server (unter Verwendung eines beliebigen von Plesk unterstützten Mailservers) oder auf einem Windows-basierten Server (nur mit SmarterMail) zu überprüfen.
So richten Sie eine benutzerdefinierte DMARC-Richtlinie für ausgehende E-Mails ein:
Gehen Sie zu Tools & Einstellungen > DNS-Template und bearbeiten Sie die DNS-Einträge für die DMARC-Richtlinie. Diese DNS-Einträge sind immer im serverweiten DNS-Template vorhanden. Im Gegensatz dazu werden DNS-Einträge für DKIM zu DNS-Zonen einzelner Domains hinzugefügt, wenn Sie DKIM für die Domain aktivieren.
Die DMARC-Standardrichtlinie von Plesk ist zum Beispiel in diesem Eintrag definiert:
_dmarc.<domain>. TXT v=DMARC1; p=none
In dieser Richtlinie wird empfohlen, dass der empfangende Mailserver Nachrichten nicht löschen sollte, auch wenn die Überprüfung fehlgeschlagen ist. Sie können jedoch eine strengere Richtlinie festlegen. Beachten Sie jedoch, dass für den Empfangsserver möglicherweise eigene Richtlinien zu eingehenden E-Mails gelten.
Hosting-Kunden können die Richtlinien für einzelne Domains bearbeiten.
Weitere Informationen zu DMARC inklusive Richtliniennotation finden Sie unter https://datatracker.ietf.org/doc/rfc7489/.
So aktivieren Sie die Überprüfung von eingehenden E-Mails über DMARC:
- Gehen Sie zu Tools & Einstellungen > Mailserver-Einstellungen (in der Gruppe E-Mail). Der Bildschirm mit den serverweiten E-Mail-Einstellungen wird mit der Registerkarte Einstellungen geöffnet.
- Aktivieren Sie im Abschnitt DMARC das Kontrollkästchen DMARC aktivieren, um eingehende E-Mails zu überprüfen. Auf Linux-basierten Servern ist diese Option nur verfügbar, wenn sowohl DKIM als auch SPF für eingehende E-Mails aktiviert ist.