DKIM-Konfiguration für Postfix
DMARC
Wenn bei Ihrem Mail-Server sowohl SPF als als auch DKIM funktioniert, können Sie sich noch überlegen, Domain-based Message Authentication, Reporting and Conformance (DMARC, Wikipedia) zu aktivieren. Dazu geben Sie mit einem weiteren DNS-TXT-Eintrag öffentlich bekannt, dass Ihr Mail-Server SPF und DKIM unterstützt, und wie mit Mails verfahren werden soll, die Ihren Hostnamen in der Absenderadresse enthalten, die aber von anderen Mail-Servern versandt wurden bzw. die nicht korrekt mit DKIM signiert sind.
Das Einrichten von DMARC ist mit wenig Arbeit verbunden. Sie müssen lediglich einen weiteren DNS-TXT-Eintrag definieren, der als Hostname _dmarc verwendet und einen Eintrag gemäß der DMARC-Syntax aufweist. Dabei können Sie sich an den DMARC-Einstellungen andere Mail-Provider orientieren:
host -t TXT _dmarc.yahoo.com _dmarc.yahoo.com descriptive text "v=DMARC1\; p=reject\; pct=100\; rua=mailto:dmarc_y_rua@yahoo.com\;" host -t TXT _dmarc.gmail.com _dmarc.gmail.com descriptive text "v=DMARC1\; p=none\; rua=mailto:mailauth-reports@google.com" host -t TXT _dmarc.hotmail.com _dmarc.hotmail.com descriptive text "v=DMARC1\; p=none\; pct=100\; rua=mailto:d@rua.agari.com\; ruf=mailto:d@ruf.agari.com\; fo=1"
- Am radikalsten ist Yahoo. (Diese Firma hat DMARC ursprünglich entwickelt.) Mails, die SPF und DKIM nicht einhalten, sollen ganz einfach verworfen werden. Fehlerberichte können an dmarc_y_rua@yahoo.com gesendet werden.
- Deutlich entspannter sehen Gmail und Hotmail die Sache:
p=noneschlägt vor, nicht korrekt signierte Mails dennoch zu akzeptieren (»Monitor-Modus«). Aber auch diese Mail-Provider sind an Fehlermeldungen interessiert und geben entsprechende Mail-Adressen an. - GMX hat aktuell keinen DMARC-Eintrag.
Wie alle anderen Techniken ist auch DMARC umstritten. Wird DMARC wie bei Yahoo streng exekutiert, dann verursachen durch Mailinglisten weitergeleitete Mails oft Probleme. Die meisten Programme für Mailinglisten verändern die From-Zeile nämlich nicht, wodurch es beim Weiterleiten zu einer Diskrepanz zwischen dem angegebenen Absender und dem Mail-Server der Mailing-Liste kommt — siehe z.B. Yahoo killt Mailinglisten-Mitgliedschaften (heise.de). Eine Diskussion über SPF, DKIM und DMARC können Sie auch im Anschluss an den Blog-Beitrag gmx.de und web.de haben Mail-Rejects durch SPF (heinlein.de) lesen.
Wenn Sie also einen DMARC-Eintrag einrichten möchten, sollten Sie sich meiner Ansicht nach Gmail als Vorbild nehmen und DMARC ohne Reject-Regel nur im Monitoring-Modus aktivieren.
An die mit dem rua-Schlüsselwort angegebene Feedback-Adresse erhalten Sie nun von manchen Mail-Providern, die DKIM nutzen und an die Ihr Server Mails sendet, regelmäßig (zumeist täglich) Feedback in Form einer komprimierten XML-Datei. Die folgenden Zeilen zeigen einen derartigen Report, den Gmail an mich versandt hat. Demnach gibt es aktuell keine Probleme mit der Konfiguration:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>google.com</org_name>
<email>noreply-dmarc-support@google.com</email>
<extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
<report_id>11979167709934618081</report_id>
<date_range>
<begin>1479686400</begin>
<end>1479772799</end>
</date_range>
</report_metadata>
<policy_published>
<domain>kofler.info</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>138.201.20.187</source_ip>
<count>2</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>kofler.info</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>kofler.info</domain>
<result>pass</result>
<selector>201611</selector>
</dkim>
<spf>
<domain>kofler.info</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
