Diese Anleitung zeigt Ihnen den Konfigurationsprozess von SPF, DKIM und DMARC – drei wichtige Komponenten zur Verbesserung der E-Mail-Versandleistung.
Die richtige Konfiguration von SPF, DKIM und DMARC erhöht das Vertrauen in Mailserver und minimiert die Wahrscheinlichkeit, dass Ihre E-Mails im Spam landen.
- SPF (Sender Policy Framework) ist eine Sicherheitsmaßnahme, die verhindern soll, dass andere in Ihrem Namen E-Mails versenden. Es legt fest, welche IP-Adressen E-Mails versenden dürfen und welche nicht.
- DKIM (DomainKeys Identified Mail) ist eine Methode zur Nachrichtenauthentifizierung. Beim Senden einer E-Mail wird diese mit dem privaten Schlüssel signiert und anschließend beim empfangenden Mailserver (oder Internetdienstanbieter) mit dem öffentlichen DNS-Schlüssel verifiziert.
- DMARC (Domain-based Message Authentication, Reporting & Conformance) verwendet SPF und DKIM zur E-Mail-Authentifizierung und reduziert so Spam- und Phishing-Angriffe.
SPF-Konfiguration (Sender Policy Framework)
1.1. Um SPF zu konfigurieren, muss den DNS-Einstellungen Ihrer Domäne ein TXT-Eintrag hinzugefügt werden.
1.2. Dies ist die folgende Syntax des SPF-Eintrags:
- v=spf1: bestimmt die von Ihnen verwendete SPF-Version. Aktuell wird ausschließlich SPF1 verwendet.
- ip4:[Ihre_Mail_Server_IP]: Gibt an, dass die IP-Adresse Ihres Mailservers berechtigt ist, im Namen Ihrer Domäne E-Mails zu senden.
- a: Es gibt an, dass, wenn eine Domäne über einen A-Eintrag (IPv4-Adresse) im DNS verfügt, der in diesem Eintrag angegebene Server E-Mails im Namen der Domäne senden kann.
- mx: Gibt an, dass der in diesem Eintrag angegebene Server im Namen der Domäne E-Mails senden kann, wenn eine Domäne über einen MX-Eintrag (Mail Exchange) im DNS verfügt.
- ~all: Gibt an, dass nur Server im SPF-Eintrag E-Mails im Namen der Domäne senden können. Stammt die E-Mail von einem anderen Server, wird sie als „Soft Match“ (~) gekennzeichnet. Das bedeutet, dass sie zwar akzeptiert, aber als möglicher Spam markiert wird.
Zusammen bilden diese Elemente einen Lichtschutzfaktor, der wie folgt aussieht:
Name: [Ihre_Domäne]
v=spf1 ip4:[Your_Mail_Server_IP] a mx ~allErsetzen Sie [Your_Mail_Server_IP] durch die IP-Adresse Ihres E-Mail-Servers.
DKIM-Konfiguration (DomainKeys Identified Mail)
2.1. Installieren Sie zunächst opendkim und opendkim-tools. Der Installationsvorgang hängt vom Betriebssystem ab:
Für CentOS:
yum install opendkim -yFür Debian/Ubuntu:
apt install opendkim opendkim-tools -y2.2. Starten Sie anschließend den Dienst opendkim und aktivieren Sie dessen Start während des Bootvorgangs:
systemctl start opendkim
systemctl enable opendkim2.3. Erstellen Sie ein Verzeichnis zur Schlüsselspeicherung:
mkdir -p /etc/opendkim/keys/yourdomain.com2.4. Generieren Sie Schlüssel mit dem Tool opendkim-genkey:
opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkimVergessen Sie nicht, „IhreDomain.com“ durch Ihren tatsächlichen Domainnamen zu ersetzen.
2.5. Legen Sie die entsprechenden Berechtigungen für Schlüssel fest:
chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com2.6. Nun müssen wir opendkim konfigurieren. Öffnen Sie die Datei /etc/opendkim.conf und fügen Sie die folgenden Einstellungen hinzu:
AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost2.7. Fügen Sie Ihre Domain zur Datei /etc/opendkim/TrustedHosts hinzu
127.0.0.1
localhost
*.yourdomain.com2.8. Bearbeiten Sie die Datei /etc/opendkim/KeyTable so, dass sie wie folgt aussieht:
dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private2.9. Ändern Sie die Datei /etc/opendkim/SigningTable. Um wie folgt auszusehen
*@yourdomain.com dkim._domainkey.yourdomain.com2.10. Wenn Sie Debian/Ubuntu verwenden, geben Sie den Port opendkim an:
echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim2.11. Starten Sie den OpenDKIM-Dienst neu, damit die Änderungen übernommen werden:
systemctl restart opendkim2.12. Fügen Sie abschließend den öffentlichen Schlüssel zu den DNS-Konfigurationen Ihrer Domain hinzu. Die Schlüssel befinden sich in /etc/opendkim/keys/yourdomain.com/dkim.txt.
DMARC-Konfiguration (Domain-based Message Authentication, Reporting & Conformance)
3.1. Um DMARC zu konfigurieren, fügen Sie Ihren Domäneneinstellungen einen TXT-Eintrag hinzu:
Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=noneErsetzen Sie [Ihre_Domäne] durch den Namen Ihrer Domäne.
PTR-Konfiguration (Pointer Record)
4.1. Ein PTR-Eintrag, auch Reverse-DNS-Eintrag genannt, dient dazu, eine IP-Adresse in einen Domänennamen umzuwandeln. Dies ist für Mailserver wichtig, da manche Server Nachrichten ohne PTR-Eintrag ablehnen können.
4.2. Der PTR-Eintrag wird üblicherweise in den Einstellungen Ihres Internetdienstanbieters oder Hosting-Anbieters konfiguriert. Wenn Sie Zugriff auf diese Einstellungen haben, können Sie einen PTR-Eintrag einrichten, indem Sie die IP-Adresse Ihres Servers und den zugehörigen Domänennamen angeben.
4.3. Wenn Sie keinen Zugriff auf die PTR-Eintragseinstellungen haben, wenden Sie sich mit einer Anfrage zur PTR-Eintragskonfiguration an Ihren Internetdienstanbieter oder Hostinganbieter.
4.4. Nach der Installation von PTR können Sie es mit dem Befehl dig in Linux überprüfen:
dig -x your_server_IPErsetzen Sie „Ihre_Server-IP“ durch die IP-Adresse Ihres Servers. Die Antwort sollte Ihren Domänennamen enthalten.
Nachdem Sie alle Schritte zur Konfiguration von SPF, DKIM und DMARC abgeschlossen haben, ist die Wahrscheinlichkeit, dass der Mailserver Ihre E-Mails als Spam markiert, wesentlich geringer – dies garantiert, dass Ihre Briefe die Empfänger erreichen.
