DNS Einstellungen Mail etc.

S2K

New Member
Hallo, habe mich jetzt schon ein paar Tage in das Thema DNS eingelesen. Dennoch habe ich hier reichlich Defizite beim verstehen.
Das ganze fing an als meine Emails die ich vom Server gesendet habe bei verschiedene Email Anbietern im Spam/Junk Ordner gelandet sind.
Auf anfrage bei meinem Server Provider hieß es ich solle einen "nichtgenerischen PTR record im Menü network -> nameserver ->
rDNS" setzten.
Habe dann meinedomain.de dort eingesetzt und der Fehler (mails landeten im Junk Ordner) blieb der gleiche.
Dann wurde ich auf die Webseite "mxtoolbox.com" aufmerksam.
Dort wurden mir verschiedene Fehler aufgelistet. Was mich dann dazu bewog den "rDNS" Eintrag auf mail.meinedomain.de zu setzten.
Nun kommen jetzt neue Fehler und ich bin mir überhaupt nicht mehr sicher ob irgendwas noch richtig ist.

Code:
Hostname: meinedomain.de
Code:
Reverse DNS: mail.deinedomain.de


Die Aktuellen Einträge im PowerPanel -Namenserver:
Code:
-/- 	NS 	  	ns5.nameserverservice.de 	 
-/- 	NS 	  	ns6.nameserverservice.de 	 
-/- 	
A
	  	00.00.00.000  	  	  	
-/- 	
MX
	100 	mail.meinedomain.de 	  	  	
* 	
A
	  	00.00.00.000 	  	  	
ftp 	
A
	  	00.00.00.000 	  	  	
Mail 	
A
	  	00.00.00.000 	  	  	
www 	
A
	  	00.00.00.000

Plesk > Domain > DNS Einstellungen:
Code:
Host	Eintragstyp	Wert
	00.00.00.00 / 00	PTR	meinedomain.de.
	_domainkey.meinedomain.de.	TXT	o=-
	default._domainkey.meinedomain.de.	TXT	p=MIGfMA0QEBAQUAA4GNADCBiQKBgQ
DTya7P/fpe57vLCuZ598FX+Vj1slDBhOomFRrVet
u/yb7LST61rXU6uG3W6tBnd39teH
9TT3TrYv7e8W3GVwTzilnlzfvcuj7oYfMQz65e+Y
OHjYvXxrZvdQIDAQAB;
	ftp.meinedomain.de.	CNAME	meinedomain.de.
	meinedomain.de.	NS	ns6.nameserverservice.de.
	meinedomain.de.	A	00.00.00.000
	meinedomain.de.	MX (10)	mail.meinedomain.de.
	meinedomain.de.	TXT	v=spf1 +a +mx -all +a:meinedomain.de
	ipv4.meinedomain.de.	A	00.00.00.000
	mail.meinedomain.de.	A	00.00.00.000
	ns.meinedomain.de.	A	00.00.00.000
	webmail.meinedomain.de.	A	00.00.00.000
	www.meinedomain.de.	CNAME	meinedomain.de.

Fehler auf http://mxtoolbox.com
Code:
dmarc 	meinedomain.de 	Missing or Invalid Record
spf 	        meinedomain.de 	No records found
dns 	        meinedomain.de 	SOA Expire Value out of recommended range
smtp 	        mail.meinedomain.de 	Reverse DNS does not match SMTP Banner

Hoffe mir kann da einer weiter Helfen.

Mfg
 
Wenn Dir hier jemand helfen soll must du noch ein paar Dinge verraten.
1. Bei welchem Anbieter hast du den Server.
2. Bei welchem Anbieter hast du deine Domains.

Der erste ist für den PTR verantwortlich von dem hast du die IP Adresse.
Der Zweite ist für die restlichen DNS Einstellungen verantwortlich.

Und vergiss bitte die DNS Einstellungen im Plesk die haben in der Regel keine Wirkung, weil sie vom DNS System nicht benutzt werde.
 
Den rDNS Eintrag muss du über den Server Provider setzen, Plesk hat da nix zu melden. Bei Hetzner z.B. ist rDNS üblicherweise inklusive, bei S4Y z.B. muss das als kostenpflichtiges Feature hinzugebucht werden.

Alleine der rDNS Eintrag wird ausgehende Mails jedoch nicht automatisch als Ham durchgehen lassen, DMARC und DKIM Einträge sind unerlässlich (gmail z.B. hat Mails von meinen Servern erst mit DKIM Eintrag als Ham eingestuft), falls dein Domain Provider das anbietet ist auch DNSSEC sehr zu empfehlen.
 
Die Plesk Einstellungen scheinen irrelevant zu sein, denn sonst wäre der SPF Error nicht da. Ergo zählt nur, was im Powerpanel konfiguriert ist.

Ansonsten solltest Du halt mal alle Fehler wegarbeiten.

dmarc meinedomain.de Missing or Invalid Record

https://dmarc.org/overview/

(brauchts nicht unbedingt, schadet aber nicht)

spf meinedomain.de No records found

Erstelle im Powerpanel einen SPF Record. Vernünftiger Wizard: https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

dns meinedomain.de SOA Expire Value out of recommended range

SOA "Haltbarkeitsdatum" niedriger setzen: https://mxtoolbox.com/problem/dns/dns-soa-expire-value

smtp mail.meinedomain.de Reverse DNS does not match SMTP Banner


Das ist einer der wichtigsten Fehler! Setze den Hostname Deines Servers auf mail.meinedomain.de ! http://linux.die.net/man/1/hostname
 
Das ist einer der wichtigsten Fehler! Setze den Hostname Deines Servers auf mail.meinedomain.de ! http://linux.die.net/man/1/hostname
Nein, nein, nein!
Wie oft muss man denn noch erklären, dass der Hostname absolut nichts mit dem SMTP-Banner oder Postfix myhostname zu tun hat?
Bitte niemals nie nicht diesem "Tipp" folgen, sondern an die RFCs halten.

System:
Hostname = host.domain.tld
Postfix:
mydomain = domain.tld
myhostname = mail.domain.tld
DNS:
PTR = host.domain.tld
A/AAAA = host.domain.tld
MX = mail.domain.tld
A/AAAA = mail.domain.tld
 
Nein, nein, nein!
Wie oft muss man denn noch erklären, dass der Hostname absolut nichts mit dem SMTP-Banner oder Postfix myhostname zu tun hat?
Bitte niemals nie nicht diesem "Tipp" folgen, sondern an die RFCs halten.

Ok, hab ich mich wohl geirrt. Danke, Joe, dass Du mich (und den Threadersteller) in Deiner unvergleichlich freundlichen Art darauf hingewiesen hast.
 
Hallo ihr ihr beiden, vielen Dank für eure Antworten.
Habe mich seit dem anfangspost die letzten Tage reichlich mit dem Thema beschäftigt und auch getestet.

Habe mit dieser Anleitung

Opendkim installiert und mit Spamassassin verbunden. Zusätzlich habe ich noch Opendmarc istalliert.

Der Aktuelle Stand:

Mbtoolbox.com:
Code:
dns 	xxx.de 	SOA Expire Value out of recommended range
smtp 	xxx.de 	Reverse DNS is not a valid Hostname 
-----------------------------------------
smtp check:
SMTP Valid Hostname 	Reverse DNS is not a valid Hostname 	
	SMTP Reverse DNS Mismatch 	OK - xx.xx.xx.xxx resolves to xxx.de 	
	SMTP Banner Check 	OK - Reverse DNS matches SMTP Banner 	
	SMTP TLS 	OK - Supports TLS. 	
	SMTP Connection Time 	0.875 seconds - Good on Connection time 	
	SMTP Open Relay 	OK - Not an open relay. 	
	SMTP Transaction Time 	3.203 seconds - Good on Transaction Time
check-auth@verifier.port25.com:
Code:
==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

==========================================================
Details:
==========================================================

HELO hostname:  xxx.de
Source IP:      xx.xx.xx.xxx
mail-from:      xxx@xxx.de

----------------------------------------------------------
SPF check details:
----------------------------------------------------------
Result:         pass 
ID(s) verified: smtp.mailfrom=xxx@xxx.de
DNS record(s):
    xxx.de. SPF (no records)
    xxx.de. 10800 IN TXT "v=spf1 +a +mx -all"
    xxx.de. 10800 IN A xx.xx.xx.xxx

----------------------------------------------------------
DomainKeys check details:
----------------------------------------------------------
Result:         neutral (message not signed)
ID(s) verified: header.From=xxx@xxx.de
DNS record(s):

----------------------------------------------------------
DKIM check details:
----------------------------------------------------------
Result:         pass (matches From: xxx@xxx.de)
ID(s) verified: header.d=xxx.de
Canonicalized Headers:
    To:'20'check-auth@verifier.port25.com'0D''0A'
    From:'20'"xxx@xxx.de"'20'<xxx@xxx.de>'0D''0A'
    Subject:'20'Test'0D''0A'
    Date:'20'Wed,'20'14'20'Oct'20'2015'20'22:50:26'20'+0200'0D''0A'
    DKIM-Signature:'20'v=1;'20'a=rsa-sha256;'20'c=simple/simple;'20'd=xxx.de;'20's=mail;'0D''0A'
    '09't=1444855813;'20'bh=VaVHexnamKUYRw3KwDJh9IEsowM/bfcVvdyofjGAZWk=;'0D''0A'
    '09'h=To:From:Subject:Date:From;'0D''0A'
    '09'b=

Canonicalized Body:
    Testnachricht'0D''0A'
    

DNS record(s):
    mail._domainkey.xxx.de. 10800 IN TXT "v=DKIM1; k=rsa; t=y; p=MIGfM...."

Public key used for verification: mail._domainkey.xxx.de (1024 bits)

NOTE: DKIM checking has been performed based on the latest DKIM specs
(RFC 4871 or draft-ietf-dkim-base-10) and verification may fail for
older versions.  If you are using Port25's PowerMTA, you need to use
version 3.2r11 or later to get a compatible version of DKIM.

----------------------------------------------------------
Sender-ID check details:
----------------------------------------------------------
Result:         pass 
ID(s) verified: header.From=xxx@xxx.de
DNS record(s):
    xxx.de. SPF (no records)
    xxx.de. 10800 IN TXT "v=spf1 +a +mx -all"
    xxx.de. 10800 IN A xx.xx.xx.xxx

----------------------------------------------------------
SpamAssassin check details:
----------------------------------------------------------
SpamAssassin v3.4.0 (2014-02-07)

Result:         ham  (-2.0 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
-0.0 SPF_HELO_PASS          SPF: HELO matches SPF record
-0.0 T_RP_MATCHES_RCVD      Envelope sender domain matches handover relay
                            domain
-0.0 SPF_PASS               SPF: sender matches SPF record
-1.9 BAYES_00               BODY: Bayes spam probability is 0 to 1%
                            [score: 0.0000]
-0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature from author's
                            domain
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily valid
-0.1 DKIM_VALID             Message has at least one valid DKIM or DK signature
 0.0 TVD_SPACE_RATIO        No description available.

==========================================================
Explanation of the possible results (from RFC 5451)
==========================================================
Meine PowerPanel einträge Dns:
Code:
Reverse Dns:
xx.xx.xx.xxx 	Haupt 	xxx.de
----------------------------
-/- 	NS 	  	ns5.nameserverservice.de 	 
-/- 	NS 	  	ns6.nameserverservice.de 	 
-/- 	
A
	  	xx.xx.xx.xxx 	  	  	
-/- 	
MX
	10 	xxx.de 	  	  	
-/- 	
TXT
	  	v=spf1 +a +mx -all 	  	  	
xxx.serverprofi24.de 	
CNAME
	  	xxx.de 	  	  	
ftp 	
A
	  	xx.xx.xx.xxx 	  	  	
ipv4 	
A
	  	xx.xx.xx.xxx 	  	  	
mail 	
A
	  	xx.xx.xx.xxx 	  	  	
mail._domainkey 	
TXT
	  	v=DKIM1; k=rsa; t=y; p=MIGfM... 	  	  	
smtp 	
A
	  	xx.xx.xx.xxx 	  	  	
www 	
A
	  	xx.xx.xx.xxx 	  	  	
_adsp._domainkey 	
TXT
	  	dkim=all 	  	  	
_dmarc 	
TXT
	  	v=DMARC1; p=quarantine; rua=mailto:report@xxx.de 	  	  	
_domainkey 	
TXT
	  	v=DKIM1; k=rsa; t=y;

So ist der stand zurzeit. Leider bekomme ich dich probleme nicht weg.
War glaube ich zu viel input :-)

Mit Soa lässt sich leider nix ändern kann es nur über Plesk machen und da hat es wohl keine auswirkungen.
 
Eigentlich brauchst Du doch nur mehr

smtp xxx.de Reverse DNS is not a valid Hostname

beheben.

M.E. hattest Du manche Teile der DNS Records schonmal richtig(er) als nun.

Wieso hast Du mail.domain.tld und smtp.domain.tld A Records, die Du vermutlich im Mail Client und evtl auch Server konfiguriert hast, wenn Du als MX Record domain.tld einträgst? Du brauchst eigentlich nur einen A Record mail.domain.tld und einen MX Record mail.domain.tld . Logischerweise trägst Du dann im Client auch mail.domain.tld für IMAP und SMTP ein. Weiterhin muss der Mailserver - wie von Joe beschrieben auch mit mail.domain.tld konfiguriert sein. Und der rDNS muss auf mail.domain.tld lauten.

Wenn der Mailserver auch noch für andere Domains zuständig sein soll, solltest Du für diese Domains (z.B. zweitedomain.tld ) schlicht den MX Record auf mail.domain.tld (die gleiche Domain wie oben) setzen. Es ist völlig Wurscht, wenn der MX Record auf eine andere domain.tld zeigt als die, die man gerade konfigurieren will.
 
naja ich habe alles einfach auf xxx.de gemacht. Weil mail.xxx.de nicht geklappt hatte. Ich habe nirgendswo mehr mail.xxx.de drinne. Im postfix etc habe ich alles auf xxx.de gemacht.
Ja und zwischen durch hatte ich auch mal alles auf pass also die domainkeys auch. Aber der smtp fehler ging nicht weg kann es vielleicht sein das was mit dem nameserver nicht stimmt?
Wenn ich auf dnsqueries.com Domain Health Check mache habe ich folgende einträge mit warnungen:
Code:
Parent sent glue: The parent nameserver didn't send GLUE records. This means that if someone asks for your NS records, has to re-ask for A records associated with them. This can increase the time needed to resolve the domain name.

Nameservers on separate class C's 		Your nameservers are on the same Class C IP range. This is very bad if you want to be found in the case of outage, or even worst, problems!

so und smtp banner check:
Code:
Connection Test 	I was able to connect on port 25 to xxx.de
HostName in Greeting 	The hostname in the greeting message is

    xxx.de

Accepts Null <> Sender 	The SMTP server is accepting NULL <> Sender
Accepts Mail to Postmaster 	The SMTP server is accepting mails to postmaster@xxx.de. This is a good thing, as this addres is used to send out system communications
Accepts Mail to Abuse 	The SMTP server is accepting mails to abuse@xxx.de. This is a good thing, as this address is used to send out abuse communications
Accepts Mail to domain literals 	The SMTP server is accepting mails to postmaster@[IP_ADDRESS]. This is a good thing, as this address is used by people that don't know your domain name!
Is Open Relay 	I have tried to send out email through the SMTP server and i wasn't able. This is a good thing, as it seems that your server isn't an open relay.
 
Last edited by a moderator:
Stellt sich übrigens nebenbei die Frage, welche TTL (Time to Live) Du bei Deinen Domaineinträgen drin hast. Denn diese bestimmt, bis wann eine Veränderung durch das gesamte DNS und damit auch bis zu Deinem Internetprovider am Anschluß durchpropagiert ist.

Meine Hinweise bezogen sich auf Deinen Powerpanelauszug davor, der die genannten A Records noch aufführte und den Verdacht, dass im Client smtp.domain.tld als Versendeserver genutzt wird, genährt hat.
 
hm okay dann änder ich nochmal alles.

System:
Hostname = host.domain.tld
Postfix:
mydomain = domain.tld
myhostname = mail.domain.tld
DNS:
PTR = host.domain.tld
A/AAAA = host.domain.tld
MX = mail.domain.tld
A/AAAA = mail.domain.tld

Ok also ändere ich im Power Panel den host auf host.xxx.de und den reverse dns mach ich auch auf host.xxx.de usw.

ok werde mal alles nach deiner beschreibung ändern. Melde mich dann mal wenn alles on ist.
 
Dir ist klar, dass das Beispiele sind? Du musst nicht genau host.domain.tld nehmen. Du kannst auch hansimglück.domain.tld nehmen, solange das an den richtigen Stellen steht. Weiterhin kannst Du auch mail.domain.tld für den Mailteil nehmen.
 
ja das ist mir klar ;-).

nur das ist doch ne gute konfig. ok könnte auch server.xxx.de nehmen als host.
Aber ich werde es jetzt mal so machen dann kommt man auch nicht durcheinander :-).
den mail teil hat er ja im beispiel auch so gemacht wie du sagst mail.xxx.de


edit:
so habe alles geändert.
hab direkt mal nen check gemacht und der fehler ist weg.
hoffe das bleibt auch so wenn der reverse dns sich aktualisiert hat.

domainkey wird aber immer noch nicht angezeigt. dkim ist pass.. ich hatte schonmal beides auf pass aber irgendwie ist es jetzt wieder weg.

und mit dem soa da kann man nix machen oder? hatte das im plesk umgestellt aber da dass ja nicht meine nameserver sind gehen die einstellungen wohl ins leere denke ich.
 
Last edited by a moderator:
Muss vielleicht nicht, aber schaden tuts auch nicht und Fehler ruft es auch keine hervor. Die anderen Punkte sind definitiv noch nicht richtig.

Doch es macht Schaden, Du bekommst beim Versende nämlich von manchen Spam-Bewertungssystemen Minuspunkte, wenn der ausgehende Mailserver kein Host Deiner Domain ist und nicht im DNS als MX (bzw in der selben Domäne wie der MX) gesetzt ist.
Das ist zwar nicht standardisisiert, aber das wird so gemacht, beispielweise von policyd-weight.

Ich kann den Joe User gut verstehen, ich könnt auch schon ausflippen, wenn ich manche Sachen hier lese. Warum nicht einfach mal hinsetzen und nix tippen, wenn man nicht weiss, wie es geht?

DNS muss kongurent sein. Ich sehe ständig so eine Grütze wie

example.com:
MX: mail.example.com

Löst man den MX reverse auf, dann erhält man aber: server84.provider.com

Also hat der MX ebenfalls server84.provider.com zu lauten.
 
Last edited by a moderator:
Also hat der MX ebenfalls server84.provider.com zu lauten.

Nein, muß er nicht. server84.provider.com muß lediglich wieder per A-Eintrag die IP des Servers liefern.
Der MX muß nur auf einen FQDN zeigen der per A-Record zu einer IP auflöst (und nicht auf einen CNAME).
Das server84.provider.com als PTR nicht die beste Lösung ist, dass einige Spamfilter gewisse generische Eigenschaften eines solchen FQDN negativ berücksichtigen.
 
Back
Top