Hilfe beim richtigen Einstellen des Mailservers

R

Radian

New Member
Moin,

Ich brauche mal Hilfe von den Fachleuten hier. Ich dachte, nach dem ich geraume Zeit auf einigen Seiten jede menge über die richtige Konfiguration bei Mailserver gelesen habe, das ich die richtige Konfig gefunden habe.

Nun lese ich hier

https://serversupportforum.de/threads/dns-problem-mehrere-domain-eine-vm.58999/
https://serversupportforum.de/threads/1-server-1-ip-mehrere-domains.58806/

und bin wohl wieder am Anfang.

Ich habe 4 Domain, wobei ich die Domain1 als mailserver Adresse nutze. Der PTR Eintrag verweist auf mail.Domain1. Alle Domain nutzen die gleiche IP: 1xx.2xx.4xx.8xx

Domain1
Code: 
@         A      1xx.2xx.4xx.8xx
*         A      1xx.2xx.4xx.8xx
www        A      1xx.2xx.4xx.8xx
mail            A      1xx.2xx.4xx.8xx
@         MX       mail.Domain1

@         TXT    v=spf1 a mx mx:Domain2 mx:Domain3 mx:Domain4 -all
@        TXT    v=DMARC1; p=none; sp=none; ruf=mailto:webmaster@Domain1; rf=afrf; pct=100; ri=86400

Domain 2,3,4

Domain1, Domain2, Domain3

@         A      1xx.2xx.4xx.8xx
*         A      1xx.2xx.4xx.8xx
www        A      1xx.2xx.4xx.8xx
mail            A      1xx.2xx.4xx.8xx
@         MX      mail.Domain2 (mail.Domain3, mail.Domain4)

@         TXT    v=spf1 include:Domain1 -all
Für Hilfe wäre ich echt dankbar
 
Last edited by a moderator:
Mir stellt sich dir Frage, ob die Konfiguration, so wie ich sie jetzt habe, korrekt ist. Es kommt ja Mails an, ich kann auch versenden.

Nur wenn ich das von Thunderbird lese:

"Eine "Hauptdomain" bestimmen und hierfür folgendes einrichten:
- A Record: mail.domain.de -> Mailserver ServerIP
- MX Record für domain.de -> mail.domain.de (MX Record darf keine IP Adresse sein)

..
Und für alle anderen Domains stellst Du dann als MX Record mail.domain.de ein:
MX Record für anderedomain.de -> mail.domain.de"

bin ich eben nicht mehr sicher
 
Deine Variante funktioniert im Prinzip. Allerdings kann das Ansprechen des Mailservers evtl. irgendwann mal zu Problemen führen. Korrekter Weise sollte dein Mailserver sich als mail.domain1.de melden und auch dessen SSL-Zertifikat auf diesen Eintrag ausgestellt sein. Passen MX, HELO und der FQDN vom Zertifikat überein, kann der sendende Mailserver das im Prinzip überprüfen. Das macht derzeit meines Wissens kein Mailserver, darum funktioniert der Mailempfang trotzdem - es kann aber in Zukunft anders aussehen.
Dann noch ein Wort zu deinen DNS-Einträgen: Mit dem Wildcard hast du schon alle Subdomains abgedeckt, musst diese also nicht separat anlegen, sofern sie zur gleiche IP auflösen. Ich persönlich halte wenig von Wildcards, da ich nur die Subdomains auch per DNS aufgelöst haben will, die auch in Verwendung sind. Bezüglich SPF verwende ich direkt die IP-Adressen meines Servers und nicht a bzw. mx - das erspart zusätzliche DNS-Abfragen, eine Abfrage liefert direkt alle notwendigen Infos.
 
okay, ich denke aber das ein Fehler bei mir in den SPF liegt

auf dem Mail Server müsste es doch korrekter weise heißen

@ TXT v=spf1 a mx mx:mail.Domain2 mx:mail.Domain3 mx:mail.Domain4 -all

und auf den Domain1, Domain2, Domain3

@ TXT v=spf1 include:mail.Domain1 -all

oder sehe ich das falsch.
 
Deine Mail-Subdomain von Domain 1 hat keinen TXT-Record, deine Mail-Subdomains der anderen Domains keinen MX-Record. Daher war es vorher schon soweit richtig, aber viel zu umfangreich.
Im SPF-Record werden die IP-Adressen aufgeführt, die senden dürfen oder eben nicht. Das kann direkt über ip4 bzw. ip6 passieren oder indirekt über a (für A-Record bzw. AAAA-Record) und mx (Hostname des MX ermitteln und davon dann A bzw. AAAA Record).
Da bei dir alles auf einem Server läuft und du für jede Domain einen A-Record hast, der ohne Subdomain die IP des Servers liefert, reicht folgendes:
Code: 
v=spf1 a -all
Bedeutet nix anderes als: Nimm den A-Record der sendenen Domain (z.B. test@domain1.de -> A-Record zu domain1.de ermitteln, IP passt, alles OK, ansonsten Mail ablehnen). Die nachfolgenden MX-Einträge kommen bei legitimen Mails sowieso nicht zum Zuge, mit dem A ist die IP deines Servers bestätigt. Würde ein anderer Server Mails mit einer Absender-Adresse von dir versenden, würden insgesamt neun DNS-Abfragen (1x für A, je 2x pro MX) laufen, die alle nur exakt eine IP liefern, nämlich die von deinem Server. Greifen würde aber bei dem fremden Server nur das -all.
Du kannst die ganzen Abfragen auch entfallen lassen, indem du folgenden SPF-Record verwendest:
Code: 
v=spf1 ip4:1xx.2xx.4xx.8xx -all
Damit weisst du direkt die legitime IP aus und alle anderen IPs dürfen deine Domain nicht verwenden. Der Include bei Domain 2-4 macht keinen Sinn, trage da auch eine der beiden von mir genannten Varianten ein.
 
You must log in or register to reply here.
Back
Top