DKIM: Unterschied zwischen den Versionen

Aus Hostsharing Wiki
Zur Navigation springen Zur Suche springen
K (→‎DKIM bei Hostsharing: Bezeichnung vom GUI in HSADmin)
 
(23 dazwischenliegende Versionen von 8 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
[[Kategorie:HSDoku]][[Kategorie:E-Mail]]
= DomainKeys Identified Mail (DKIM) =
= DomainKeys Identified Mail (DKIM) =


Zeile 5: Zeile 6:
Der öffentliche Schlüssel wird im DNS der E-Mail-Domain veröffentlicht, so dass Empfänger die Authentizität der Signatur prüfen können.
Der öffentliche Schlüssel wird im DNS der E-Mail-Domain veröffentlicht, so dass Empfänger die Authentizität der Signatur prüfen können.


{{Textkasten|gelb|Beta|Das Feature ist bei Hostsharing im Beta Test, bitte noch nicht für den produktiven Einsatz nutzen.}}
== DKIM bei Hostsharing aktivieren ==


== DKIM bei Hostsharing ==
Die Nutzer der Hostsharing-Plattform können E-Mails, die sie über die Hostsharing-Server versenden, mit einer DKIM Signatur versehen lassen. Dazu sind zwei Voraussetzungen notwendig:
 
Die Nutzer der Hostsharing-Plattform können E-Mails, die sie über die Hostsharing-Server versenden, mit einer DKIM Signatur versehen lassen. Dazu sind zwei Einrichtungsschritte notwendig:


# Die Veröffentlichung des öffentlichen Domainkey im DNS der eigenen E-Mail-Domain.
# Die Veröffentlichung des öffentlichen Domainkey im DNS der eigenen E-Mail-Domain.
# Das Setzen der Domain-Option "Domain Key – DKIM" mit Hilfe von HSAdmin.
# Das Setzen der Domain-Option "Domain Key – DKIM" mit Hilfe von HSAdmin.


== Domainkey im DNS ==
=== Domainkey im DNS ===
 
==== Wenn ein individuell angepasstes Zonefile existiert ====
 
Wenn das Zonefile individuell angepasst wurde, muss es entweder den Platzhalter
 
<code>{DEFAULT_ZONEFILE}</code>
 
oder den Platzhalter
 
<code>{DKIM_RR}</code>


Zur Veröffentlichung des Domainkey muss das Zonefile der E-Mail-Domain erweitert werden. Dazu muss in einem individuell angepassten Zonefile die Zeile
enthalten.


  {DKIM_RR}
Wenn das nicht der Fall ist, muss eine der beiden Zeilen ergänzt werden.


ergänzt werden.
==== Wenn das Zonefile nicht verändert wurde ====


Diese Zeile ist in der Beta-Phase nicht Bestandteil des Default-Zonefile! Domain-Inhaber, die ihr Zonefile bisher nicht angepasst haben, müssen also ein minimales Zonefile der Form
Wenn kein Zonefile im etc-Verzeichnis der Domain vorhanden ist, bedeutet dies, dass das Default-Zonefile mit der Zeile "<code>{DEFAULT_ZONEFILE}</code>" genutzt wird.


  {DEFAULT_ZONEFILE}
Die Veröffentlichung ddes Domainkeys ist dann mit einem einfachen "touch"-Befehl möglich.
  {DKIM_RR}


erstellen.
<syntaxhighlight lang=shell>
touch doms/hs-example.de/etc/pri.hs-example.de
</syntaxhighlight>


Nach einer erfolgreichen Veröffentlichung des Domainkey liefert der Befehl
Daraufhin erstellt das System automatisch einen Domain-Key und veröffentlicht ihn.
Etwa drei Minuten nach dem "touch" liefert der Befehl


  $ dig -t TXT +short default._domainkey.hs-example.de
<syntaxhighlight lang=shell>
dig -t TXT +short default._domainkey.hs-example.de @dns1.hostsharing.net
</syntaxhighlight>


("hs-example.de" durch die eigene Domain ersetzen) einen Schlüssel in der Form:
("hs-example.de" durch die eigene Domain ersetzen)  


  v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjAN [...]"
einen Schlüssel in der Form:


== Domainoption DKIM setzen ==
<syntaxhighlight lang=ini>
v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjAN [...]"
</syntaxhighlight>


Über die Domainoption "DKIM" wird gesteuert, dass der SMTP-Server, auf dem der Webspace mit der Domain liegt, die ausgehenden E-Mail mit einer DKIM-Signatur ausstattet.
=== Domainoption DKIM ===


In der Beta-Phase ist das Setzen dieser Option nur über das Kommandozeilentool "hsscript" möglich. Mit "hsscript" müssen beim Update einer Domain jeweils alle Domainoptionen, die gesetzt sein sollen, angegeben werden!
Über die Domainoption "Domain Key – DKIM" wird gesteuert, dass der SMTP-Server, auf dem der Webspace mit der Domain liegt, die ausgehenden E-Mail mit einer DKIM-Signatur ausstattet.


Im Folgenden werden deshalb zunächst die Domainoptionen gelesen und anschließend mit der zusätzlichen Option "dkim" wieder geschrieben:
Zum Anpassen der Domainoptionen wählt man in HSAdmin links den Punkt "Web-Paket" und im rechten Bereich im Menü die Auswahl "Domain". Bei Domains, die ab 3. September 2021 eingerichtet wurden, ist die Domainoption per Voreinstellung gesetzt,


  $ hsscript -u xyz00 -i
[[Datei:dkim-domain.png]]
  Password: *********
  xyz00@hsadmin> domain.search({where:{name:'hs-example.de'}})
  [
    {
        domainoptions:[
          'htdocsfallback',
          'indexes',
          'autoconfig',
          'greylisting',
          'includes',
          'letsencrypt',
          'multiviews'
        ],
        hive:'h97',
        id:'22767',
        name:'hs-example.de',
        pac:'xyz00',
        since:'12.02.21',
        user:'xyz00-doms',
        validsubdomainnames:'www'
    }
  ]
  xyz00@hsadmin> domain.update({where:{name:'hs-example.de'},set:{domainoptions:[ 'htdocsfallback', 'indexes', 'autoconfig', 'greylisting', 'includes', 'letsencrypt', 'multiviews', 'dkim' ]}})
  [
    {
        domainoptions:[
          'htdocsfallback',
          'indexes',
          'dkim',
          'autoconfig',
          'greylisting',
          'includes',
          'letsencrypt',
          'multiviews'
        ],
        hive:'h97',
        id:'22767',
        name:'hs-example.de',
        pac:'xyz00',
        since:'12.02.21',
        user:'xyz00-doms',
        validsubdomainnames:'www'
    }
  ]
  xyz00@hsadmin> exit


== Beta Test ==
[[Datei:dkim-option.png]]


Mitglieder, die mit "hsscript" und Zonefile umgehen können, sind herzlich eingeladen am Test teilzunehmen. Das Wiederentfernen der DKIM-Option kann jedoch zu Schwierigkeiten bei der Zustellung ausgehender Mails führen. Das Abstellen in folgender Reihenfolge wird funktionieren:
== DKIM deaktivieren ==
 
Das Abstellen der DKIM-Option in folgender Reihenfolge wird funktionieren:


# Die Domainoption deaktivieren
# Die Domainoption deaktivieren
# Abwarten bis alle mit der Option (und damit mit einer Signatur) versendeten E-Mail zugestellt sind
# Abwarten bis alle mit der Option (und damit mit einer Signatur) versendeten E-Mail zugestellt sind
# Den Domainkey im DNS entfernen
# Den Domainkey im DNS entfernen
== DKIM bei Google ==
Die Server von ''gmail'' sind so eingestellt, dass E-Mails von Domains ohne DKIM oder SPF nicht zugestellt werden. Die Empfängerseite wird nicht informiert. An die Absenderseite geht eine Fehlermeldung in der Art:
<Blockquote>... host gmail-smtp-in.l.google.com[2a00:1450:4010:c0f::1a] said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. 550-5.7.26  550-5.7.26  Authentication results: 550-5.7.26  DKIM = did not pass 550-5.7.26 ...</blockquote>
Dieser Google-Support-Artikel: [https://support.google.com/a/answer/81126 Richtlinien für E-Mail-Absender] (abgerufen am 26. Mai 2024) soll das erläutern.
Nach erfolgreicher Umstellung findet sich im Header einer E-Mail in Googles Posteingang Text in der Art:
<syntaxhighlight lang=ini>Authentication-Results: mx.google.com;
dkim=pass ...
spf=pass ...
</syntaxhighlight>


== Links ==
== Links ==


* [https://de.wikipedia.org/wiki/DomainKeys DKIM Artikel der Wikipedia]
* [https://de.wikipedia.org/wiki/DomainKeys DKIM Artikel der Wikipedia]
* [https://doc.hostsharing.net/referenz/zonefile/ Hostsharing-Dokumentation zur Anpassung des Zonefile]
* [https://www.hostsharing.net/doc/managed-operations-platform/zonefile/ Hostsharing-Dokumentation zur Anpassung des Zonefile]
* [https://doc.hostsharing.net/referenz/domain/domain-optionen.html Hostsharing-Dokumentation Domain-Optionen]
* [https://www.hostsharing.net/doc/managed-operations-platform/domain/#kap-domain-optionen Hostsharing-Dokumentation Domain-Optionen]

Aktuelle Version vom 7. November 2024, 09:56 Uhr

DomainKeys Identified Mail (DKIM)

DKIM ist ein Verfahren, dass die Authentizität einer E-Mail sicherstellen kann. Dazu wird die E-Mail auf dem sendenden System mit einer elektronischen Signatur in den unsichtbaren Headerzeilen der E-Mail versehen. Es kommt ein asymmetrisches Schlüsselverfahren zum Einsatz. Der sendende Server verwendet seinen privaten Schlüssel, um die Signatur zu erstellen.

Der öffentliche Schlüssel wird im DNS der E-Mail-Domain veröffentlicht, so dass Empfänger die Authentizität der Signatur prüfen können.

DKIM bei Hostsharing aktivieren

Die Nutzer der Hostsharing-Plattform können E-Mails, die sie über die Hostsharing-Server versenden, mit einer DKIM Signatur versehen lassen. Dazu sind zwei Voraussetzungen notwendig:

  1. Die Veröffentlichung des öffentlichen Domainkey im DNS der eigenen E-Mail-Domain.
  2. Das Setzen der Domain-Option "Domain Key – DKIM" mit Hilfe von HSAdmin.

Domainkey im DNS

Wenn ein individuell angepasstes Zonefile existiert

Wenn das Zonefile individuell angepasst wurde, muss es entweder den Platzhalter

{DEFAULT_ZONEFILE}

oder den Platzhalter

{DKIM_RR}

enthalten.

Wenn das nicht der Fall ist, muss eine der beiden Zeilen ergänzt werden.

Wenn das Zonefile nicht verändert wurde

Wenn kein Zonefile im etc-Verzeichnis der Domain vorhanden ist, bedeutet dies, dass das Default-Zonefile mit der Zeile "{DEFAULT_ZONEFILE}" genutzt wird.

Die Veröffentlichung ddes Domainkeys ist dann mit einem einfachen "touch"-Befehl möglich. 

touch doms/hs-example.de/etc/pri.hs-example.de

Daraufhin erstellt das System automatisch einen Domain-Key und veröffentlicht ihn. Etwa drei Minuten nach dem "touch" liefert der Befehl 

dig -t TXT +short default._domainkey.hs-example.de @dns1.hostsharing.net

("hs-example.de" durch die eigene Domain ersetzen)

einen Schlüssel in der Form: 

v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjAN [...]"

Domainoption DKIM

Über die Domainoption "Domain Key – DKIM" wird gesteuert, dass der SMTP-Server, auf dem der Webspace mit der Domain liegt, die ausgehenden E-Mail mit einer DKIM-Signatur ausstattet.

Zum Anpassen der Domainoptionen wählt man in HSAdmin links den Punkt "Web-Paket" und im rechten Bereich im Menü die Auswahl "Domain". Bei Domains, die ab 3. September 2021 eingerichtet wurden, ist die Domainoption per Voreinstellung gesetzt,

Dkim-domain.png

Dkim-option.png

DKIM deaktivieren

Das Abstellen der DKIM-Option in folgender Reihenfolge wird funktionieren:

  1. Die Domainoption deaktivieren
  2. Abwarten bis alle mit der Option (und damit mit einer Signatur) versendeten E-Mail zugestellt sind
  3. Den Domainkey im DNS entfernen

DKIM bei Google

Die Server von gmail sind so eingestellt, dass E-Mails von Domains ohne DKIM oder SPF nicht zugestellt werden. Die Empfängerseite wird nicht informiert. An die Absenderseite geht eine Fehlermeldung in der Art:

... host gmail-smtp-in.l.google.com[2a00:1450:4010:c0f::1a] said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. 550-5.7.26 550-5.7.26 Authentication results: 550-5.7.26 DKIM = did not pass 550-5.7.26 ...

Dieser Google-Support-Artikel: Richtlinien für E-Mail-Absender (abgerufen am 26. Mai 2024) soll das erläutern.

Nach erfolgreicher Umstellung findet sich im Header einer E-Mail in Googles Posteingang Text in der Art: 

Authentication-Results: mx.google.com;
dkim=pass ...
spf=pass ...

Links

Abgerufen von „https://wiki.hostsharing.net/index.php?title=DKIM&oldid=7034