Whitebird
Lebende Foren Legende
Dabei seit: 31.03.2009
Beiträge: 1.746
Herkunft: Aus dem Nichts, Nordsee/Ecke Ossiland!!!
|
|
Mails kommen nicht an: So beseitigen Sie das Problem |
|
Ratgeber
Mails kommen nicht an: So beseitigen Sie das Problem
Von Stephan Lamprecht
29.8.2024 15:30 Uhr
Wenn Mails bei Empfängern auch nach mehreren Versuchen nicht ankommen – auch nicht im Spamordner – wurde möglicherweise der Empfang aktiv verweigert. Dann sollten Sie sich mit SPF, DKIM und DMARC beschäftigen.
Zitat: |
Inhaltsverzeichnis
- SPF – Junk, oder nicht?
- DKIM: Gegen Spoofing und Manipulationen
- DMARC führt alles zusammen
|
Mailprovider und größere Unternehmen verwenden Filter, um ihre Systeme vor Spammails und Nachrichten mit zweifelhaften Inhalten zu schützen. Wenn eingehende Mails die Filtermaßnahmen nicht passieren, werden sie abgewiesen oder landen in Quarantäne.
Da der Absender meist keine Rückmeldung erhält, hat die betreffende Nachricht für den Empfänger also nie existiert. Das kann im Umfeld von Beruf, Behörden, Finanzen mehr als unangenehm werden.
SPF – Junk, oder nicht?
Das Scannen von Mails auf Malware und die Untersuchung von Dateianhängen sind im professionellen Umfeld immer erst der zweite Schritt. Vorher erfolgt eine Prüfung, ob der Absender überhaupt berechtigt war, diese Mail zu verschicken.
Denn typischerweise nutzen Spamprofis die Domain eines anderen als angeblichen Absender der Nachricht. Und genau hier kommt das Sender Policy Framework (SPF) zum Einsatz.
Der Ablauf der Prüfung ist rasch erklärt. Geht eine E-Mail auf dem Server des Empfängers ein, fragt dieser mit einem DNS-Lookup nach, ob die IP-Adresse des Absenders auf dem DNS-Server des Absenders als berechtigt eingetragen wurde.
Verläuft diese Probe negativ, wird die Mail abgewiesen oder als Junk eingestuft. Den Gang der Prüfung können sich alle Nutzer von Gmail ansehen, wenn sie in einer beliebigen Mail die Funktion „Original anzeigen“ aktivieren.
Ein Problem für den Verfasser einer Mail liegt darin, dass er nicht weiß, ob sein Mailprovider einen SPF-Eintrag eingerichtet hat und ob dieser korrekt funktioniert. Um das zu überprüfen, können Sie Gratisdienste wie den Mail-Tester nutzen, an die Sie eine Mail senden und wenige Minuten später eine Auswertung erhalten.
Liefern solche Dienste eine hohe Bewertung ab, scheint mit der Domain alles in Ordnung. Wenn Mails den Empfänger trotzdem nicht erreichen, muss das andere Ursachen haben.
Wie Sie jetzt schon wissen, hat der SPF-Eintrag etwas mit dem DNS-Server zu tun. Um diesen zu ändern, müssen Sie bei Ihrem Hoster also auch Zugang zu den DNS-Einträgen bekommen. Bei einem in Eigenregie betriebenen Server ist das kein Problem. Ein gültiger SPF-Eintrag kann dann etwa so aussehen:
code: |
1:
|
v=spf1 a:mail.beispiel.tld +ip4:xxx.xxx.xxx.0/24 +ip4:yyy.yyy.0.0/21 -all |
|
Zunächst legen Sie die Versionsnummer fest. Dieser Eintrag ist ein Muss, lautet aber stets wie hier angegeben. Mit „a“ teilen Sie mit, dass E-Mails von dem genannten Server stammen müssen. Über die „ip4“-Einträge definieren Sie entweder eine feste Adresse oder, wie im Beispiel, zulässige Adressbereiche für Absender, die eine Mail versenden dürfen.
Auch hier der Hinweis: Wenn Sie über einen Hostingprovider Nachrichten versenden (oder etwa über Google Workspace oder einen ähnlichen Dienst), müssen Sie sich vorher genau über Servernamen oder Domains informieren, um diese dann etwa mit „include“ hinzufügen.
Andernfalls werden Ihre Mails möglicherweise vom Zielsystem zurückgewiesen. Mit dem „-all“ am Ende definieren Sie, dass Adressen, die nicht den vorher definierten Eigenschaften entsprechen, abgewiesen werden können, weil sie nicht von Ihrem System stammen.
DKIM: Gegen Spoofing und Manipulationen
„Domain Keys Identified Mail“, kurz DKIM, ist eine zusätzliche Sicherheitsschicht für E-Mails und nutzt Kryptografie. Besteht eine E-Mail beim Empfänger die Überprüfung mit DKIM, darf er davon ausgehen, dass die Nachricht mit sehr großer Wahrscheinlichkeit tatsächlich vom Absender stammt und unterwegs nicht verändert wurde.
Das Verfahren nutzt den bekannten Mechanismus eines Schlüsselpaares, bestehend aus einem öffentlich abrufbaren und einem geheimen Schlüssel.
Beim Versenden der Nachricht generiert der Server eine digitale Signatur, die er mit dem privaten Schlüssel verschlüsselt. Die Signatur enthält Informationen zum Absender und der Mail. Der Eingangsserver des Empfängers extrahiert die DKIM-Signatur und vergleicht diese mit dem auf dem DNS abgelegten öffentlichen Schlüssel.
Aber Achtung: Ein eigenes Schlüsselpaar können und müssen Sie nur dann anlegen, sofern der Ausgangsserver noch keines besitzt. Das dürfte bei Hostinganbietern kaum der Fall sein. Sie können das vom Provider eingerichtete Schlüsselpaar nicht einfach durch ein eigenes ersetzen. Denn die meisten Anbieter haben den Postausgangsserver (SMTP) vor solchen Zugriffen geschützt.
Der öffentliche Teil auf dem DNS ist wieder ein TXT-Eintrag, der in erster Linie den öffentlichen Schlüssel enthält, damit dieser schnell zu überprüfen ist. Als Name weisen Sie, angepasst an Ihre Domain, „dkim._domainkey.example.com“ zu. Der Eintrag selbst sieht dann etwa so aus:
code: |
1:
|
v=DKIM1; k=rsa; p=[ZEICHENFOLGE_SCHLÜSSEL] |
|
Wie schon bei SPF beginnen Sie den Eintrag mit der Nennung der Versionsnummer. Mit dem Schalter „k“ definieren Sie das Verschlüsselungsverfahren (hier RSA). Die mehrzeilige Zeichenfolge des öffentlichen Schlüssels hinterlegen Sie hinter dem Wert „p“.
Sofern Ihr Mailprovider es erlaubt, einen eigenen DKIM-Schlüssel zu erzeugen respektive die Nutzung von DKIM optional ist, wird er vermutlich in der Verwaltungsoberfläche der Domain auch ein entsprechendes Tool anbieten. Andernfalls finden Sie im Internet auch Werkzeuge, um solche Schlüsselpaare zu generieren.
DMARC führt alles zusammen
Das Sicherheitsprotokoll DMARC („Domain- based Message Authentication, Reporting and Conformance“) basiert auf SPF und DKIM und führt diese Elemente zusammen. Mit anderen Worten: DMARC ohne die beiden konfigurierten Bestandteile ist kontraproduktiv. Der Server des Empfängers liest via DNS die DMARC-Richtlinien des Absenders und behandelt die Nachrichten entsprechend.
Der Ablauf ist somit folgender: Ein Benutzer verfasst eine E-Mail und der sendende Server fügt einen DKIM-Header ein. Basierend auf dem Header fragt der Eingangsserver über SPF die verifizierte DKIM-Domains ab und wendet die DMARC-Richtlinien an.
Entsprechend der Richtlinie leitet er die Mail jetzt an den Empfänger weiter oder weist sie ab. Der Empfangsserver prüft also, ob die DKIM-Signatur gültig ist, ob die Nachricht von einer IP-Adresse stammt, die von SPF erfasst ist und ob der Header der Nachricht zur Domain passt. DMARC-Einträge werden ebenfalls als Typ „txt“ auf dem DNS eingetragen.
Ein Eintrag sieht dann etwa so aus:
code: |
1:
|
v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@beispiel.tld |
|
Zunächst wird die Versionsnummer von DMARC mitgeteilt (immer „DMARC1“). Der Wert hinter „p“ definiert, was mit verdächtigen Nachrichten geschieht. In diesem Fall werden Sie abgewiesen.
Möglich sind aber auch „none“ und „quarantine“. Mittels „pct“ und dessen Standardwert 100 definieren Sie, dass die Prüfung für alle Nachrichten der Domain gelten soll.
Wie unschwer zu erkennen, gibt „rua“ die E-Mail-Adresse der Domain an, an die Statusberichte über mögliche Quarantäne oder Zurückweisungen geschickt werden sollen. Optional gibt es etwa noch den Parameter „sp“, dem Sie die gleichen Werte wie der Domain zuweisen können (reject, none, quarantine).
quelle: pcwelt.de
...soso, nu is der otto schlauer
__________________
Der frühe Vogel trinkt 'n Korn???
Grüße von Whitebird
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Whitebird: 30.08.2024 21:33.
|
|