SPF und DKIM einrichten

[edelweb]

Hallo und n'Abend,

ich bin "nur" Webdesigner, stelle aber auch für meine Mandanten Hosting, Domain und Mails bereit.
Hosting mit ManagedServer bei Allinkl und Domains bei Ascio - quasi getrennt (Kostengründe).
Ich möchte mich nun endlich mit dem Thema Sicherheit bezügl der Mails auseinander setzen und den Domains SPF/DKIM verpassen.
Habe mich heute bei Google durchgekämpft, aber so recht scheint es nicht zu funktionieren und vom Domain Provider bekomme ich kein Feedback.

Was ich jetzt für eine Domain getestet habe:
SPF
Domain
Typ: txt
Eintrag: v=spf1 mx a ip4:212.123.35.78/28 -all (wird bei mxtoolbox erkannt)

DKIM - habe ich mir bei https://easydmarc.com/tools/dkim-record-generator dies geben lassen:
Host: domain.de._domainkey
Domain
Typ: txt
Eintrag: v=DKIM1;t=s;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC56IJWM4ODPcTrl2wqhmS7/L5TX44ll2SfQZt3tNv3hhAA0HTZyQg0XNYkvWPnJ4a1YgkyVOhzFrwHrH+eyXBorAEpHPZybBTszGnHEMAK41Y4bQ0mMPHse3gbHIEPAsRTL2xkOQx2f5H0sJP2iUgDwZKIhdb+dWmkcdYQIVnWxQIDAQAB

dazu noch einen rsa private key
Keine Ahnung wie ich diesen eintragen soll
Eventuell so:
Host: domain.de._domainkey
Domain
Typ: txt
Eintrag: k=rsa;p=MIICXQIBAAKBgQC56I.................

Jedenfalls erkennt mxtoolbox da nix.
Vielleicht könntet ihr so lieb sein und mich ein wenig in die richtige Richtung stossen?

 

[MadMakz]

Der PRIVATE-Key ist dazu da die Ausgehende Email zu signieren. Ich denke nicht das du diesen öffentlich in deinem DNS stehen haben willst.

Edit: Die Seite die du benutz hast erklärt dir das auch ziemlich genau.

 

[danton]

Da es sich um Managed Server handelt, würde ich jetzt davon ausgehen, dass all-inkl den DKIM-Schlüssel auf den Servern verwaltet und dir daher auch den DNS-Eintrag liefern sollte, den du für die Domain vornehmen musst. Aus Security-Sicht ist von solchen 3rd-Party Generator-Diensten generell abzuraten, da der private Schlüssel privat bleiben soll (bei Generator-Seiten kennt neben dir auch der Betreiber des Generators den privaten Schlüssel und könnte ihn theoretisch missbrauchen).
Also mal bei all-inkl bez. DKIM nachfragen, wenn du in deren Kundenmenü und Support-Webseiten da nichts findest.

 

[MadMakz]

Hab ich ganz überlesen!

Dann sei noch folgendes gesagt:

Versand über All-inkl Server: https://all-inkl.com/wichtig/anleit...-bei-versand-ueber-unsere-mailserver_541.html

Versand über externe Server: https://all-inkl.com/wichtig/anleit...bei-versand-ueber-externe-mailserver_444.html

 

[danton]

Ich glaube, die Links gehen beide am Ziel vorbei, da die Domains ja eben nicht bei all-inkl liegen und es bei den Anleitungen ja um die Einstellungen im DNS von all-inkl geht.

 

[MadMakz]

Afaik generiert Allinkl den Eintrag aber dennoch, der muss dann nur kopiert werden.

Ein nettes Testtool ist https://www.appmaildev.com/en/dkim

 

[edelweb]

Lieben Dank für eure zahlreichen Tipps!
Ja eben, wenn die Domains bei allinkl liegen würden, wäre es ja easy. Tun sie aber leider nicht.


allinkl:

Eintrag in DNS (https://easydmarc.com/tools/dkim-record-generator)

Mail Header Tetsmail an gmail

Delivered-To: edel242@gmail.com
Received: by 2002:a05:6f02:c88f:b0:26:b4e9:b9d9 with SMTP id a15csp178620rcg;
        Thu, 10 Nov 2022 05:24:08 -0800 (PST)
X-Google-Smtp-Source: AA0mqf5mMXWxp5P0oy7o2pbsr0RsUDSZmDREdroQQp18cUgsR4eRH1nMwkT6LBYHNnmW7TxjMtU0
X-Received: by 2002:a05:600c:548e:b0:3cf:a6d9:7b0b with SMTP id iv14-20020a05600c548e00b003cfa6d97b0bmr15346023wmb.94.1668086648774;
        Thu, 10 Nov 2022 05:24:08 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1668086648; cv=none;
        d=google.com; s=arc-20160816;
        b=FKzoV9ajketQAZDcfF9JQuUmJXleG4Z9/wy0EzhJPXinpzv+bcHpnAUt6EZaIXQ3Qp
         UPlJ8MFu35ZG/Z+b2f3JUGF0O6pZHW40cAERBManZajWmOnLZ7mXt+n40xKRfEQHYyLC
         4FINyoCfn6mH0+/OAz8QJOOhrh4kBstWA3xDD+0hCNbD63JIholh7gL0zYft+o6brRe1
         NaDTCvyyPIIcELE2bwuYIGk0bZdBnu3OI9cxiXhjzw6vVDNL6OwT7iviw6Nr421MEslo
         SocfimSFcVN7PPwsqaNq6DPbzqYLcTD2o9c+qJJCHw2l9H983D9VRF82CVGrpfupXWJk
         XHSQ==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-transfer-encoding:subject:from:to:user-agent:mime-version
         :date:message-id:dkim-signature;
        bh=g3zLYH4xKxcPrHOD18z9YfpQcnk/GaJedfustWU5uGs=;
        b=k8otTVFkggRmeZ4L6uk6sR1XBiIk2Ohnf2o2j9MjToBOQpH/e+GqxxiAziN5G6lRD0
         j+sqF76m5KiQbJ7AY2+1PqtQPanqlAuzqGR7dsrp4uD+l5J87KquBuatCy8eR2EbqbHP
         6X1BRT6SrSPZyxqNJmjuq951BaBf2E75SdfPPzQMvko+RAPetOL2re/qdPh8lZ5Uc2gn
         Ft+ejrylCRFBhF76+Ci2Xie4lrlcyKS2zRwU/g6sUXrWYmf2NaQUyNf7TbnXrYhqk4yv
         QMKMCigzfi5A/F5tEEIn8qEfSZddhzkKsNqwPiVZplQMlgAGBw5m/e4S3wKqO67aQq1B
         O91w==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=temperror (no key for signature) header.i=@edelwebdesign.com header.s=kas202211091602 header.b=GGKbf4Vv;
       spf=pass (google.com: domain of edel@edelwebdesign.com designates 85.13.164.89 as permitted sender) smtp.mailfrom=edel@edelwebdesign.com
Return-Path: <edel@edelwebdesign.com>
Received: from dd48008.kasserver.com (dd48008.kasserver.com. [85.13.164.89])
        by mx.google.com with ESMTPS id m10-20020a5d64aa000000b0022acf2b8b5esi15010191wrp.376.2022.11.10.05.24.08
        for <edel242@gmail.com>
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
        Thu, 10 Nov 2022 05:24:08 -0800 (PST)
Received-SPF: pass (google.com: domain of edel@edelwebdesign.com designates 85.13.164.89 as permitted sender) client-ip=85.13.164.89;
Authentication-Results: mx.google.com;
       dkim=temperror (no key for signature) header.i=@edelwebdesign.com header.s=kas202211091602 header.b=GGKbf4Vv;
       spf=pass (google.com: domain of edel@edelwebdesign.com designates 85.13.164.89 as permitted sender) smtp.mailfrom=edel@edelwebdesign.com
Received: from [192.168.2.31] (p5b0753f9.dip0.t-ipconnect.de [91.7.83.249]) by dd48008.kasserver.com (Postfix) with ESMTPSA id 06F466A400A9 for <edel242@gmail.com>; Thu, 10 Nov 2022 14:24:08 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=edelwebdesign.com; s=kas202211091602; t=1668086648; bh=g3zLYH4xKxcPrHOD18z9YfpQcnk/GaJedfustWU5uGs=; h=Date:To:From:Subject:From; b=GGKbf4VvQ9YrTMgy6mKj95pLyrzQ99YZ9XFzNQPuxFkttDbqGIx0mA0/zZWY++fim
     bpRfZpm0N1py54rAyOxWHEj2tpqYGlRf10r2rGbovB5O6k+/hKe77XB0N6wGTZDScX
     1WCce3oi4H7cSGFLgOPPxOzyRVD/dhh1Sxj9svU+fyfLCJOTtECSVhA8aawjFU9Y7j
     wsRwOj9vWvN8e41BTN1in0pkJqish1232p4NXqqoB0bSDlnJsZ7GtwFtj7FVbtWPOU
     w9/HWI8v4QopJH+6KPpgdWITfd7yxNEcPz3EIDoUf+ihwuOu17ibXlN4nK6nzHCWIb
     7Sh8WhiFMTjCQ==
Message-ID: <1f30e56a-687b-c2d0-7789-7b4a15ee13f7@edelwebdesign.com>
Date: Thu, 10 Nov 2022 14:24:07 +0100
MIME-Version: 1.0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Thunderbird/102.4.2
To: edel242@gmail.com
From: edelwebdesign <edel@edelwebdesign.com>
Subject: test
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 7bit

Ergebnis bei https://www.appmaildev.com/en/dkimfile

DKIM läuft leider nicht. Was habe ich falsch gemacht

 

[danton]

Die Server von All-Inkl verwenden einen von All-Inkl generierten privaten Schlüssel. Den zugehörigen öffentlichen Schlüssel (also das, was in den DNS-Eintrag rein muss), muss dir dazu ebenfalls All-Inkl liefern. Da oben in der Meldung steht, dass die Domain nicht auf den All-Inkl DNS-Server liegt und auf das Problem mit nicht passenden DKIM-Informationen hinweist, würde ich davon ausgehen, dass diese Information auch irgendwo bei All-Inkl abgerufen werden kann. Falls hier im Forum sich keiner meldet, der es zufällig weiss, frag beim All-Inkl Support nach.