DKIM: Unterschied zwischen den Versionen

Aus Hostsharing Wiki
Zur Navigation springen Zur Suche springen
 
(8 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 6: Zeile 6:
Der öffentliche Schlüssel wird im DNS der E-Mail-Domain veröffentlicht, so dass Empfänger die Authentizität der Signatur prüfen können.
Der öffentliche Schlüssel wird im DNS der E-Mail-Domain veröffentlicht, so dass Empfänger die Authentizität der Signatur prüfen können.


== DKIM bei Hostsharing ==
== DKIM bei Hostsharing aktivieren ==


Die Nutzer der Hostsharing-Plattform können E-Mails, die sie über die Hostsharing-Server versenden, mit einer DKIM Signatur versehen lassen. Dazu sind zwei Voraussetzungen notwendig:
Die Nutzer der Hostsharing-Plattform können E-Mails, die sie über die Hostsharing-Server versenden, mit einer DKIM Signatur versehen lassen. Dazu sind zwei Voraussetzungen notwendig:
Zeile 13: Zeile 13:
# Das Setzen der Domain-Option "Domain Key – DKIM" mit Hilfe von HSAdmin.
# Das Setzen der Domain-Option "Domain Key – DKIM" mit Hilfe von HSAdmin.


== Domainkey im DNS ==
=== Domainkey im DNS ===


Zur Veröffentlichung des Domainkey muss ein individuell angepastes Zonefile der E-Mail-Domain erweitert werden. Es müssen entweder der Platzhalter
==== Wenn ein individuell angepasstes Zonefile existiert ====


  {DEFAULT_ZONEFILE}
Wenn das Zonefile individuell angepasst wurde, muss es entweder den Platzhalter


oder der Platzhalter
<code>{DEFAULT_ZONEFILE}</code>


  {DKIM_RR}
oder den Platzhalter


enthalten sein.
<code>{DKIM_RR}</code>


Ein nicht vorhandenes Zonefile im etc-Verzeichnis der Domain ist gleichbedeutend mit einem Zonefile,
enthalten.
das die Zeile "{DEFAULT_ZONEFILE}" als einzige Zeile enthält.


Änderungen am Zonefile aktiviert der Domain-Administrator (hier User "xyz00-doms") durch ein "touch" auf diese Datei (auch wenn die Datei nicht vorhanden ist):
Wenn das nicht der Fall ist, muss eine der beiden Zeilen ergänzt werden.


xyz00-doms@h97:~$ touch doms/hs-example.de/etc/pri.hs-example.de
==== Wenn das Zonefile nicht verändert wurde ====
xyz00-doms@h97:~$


Nach einer erfolgreichen Veröffentlichung des Domainkey (ca. 3 Minuten nach dem "touch") liefert der Befehl
Wenn kein Zonefile im etc-Verzeichnis der Domain vorhanden ist, bedeutet dies, dass das Default-Zonefile mit der Zeile "<code>{DEFAULT_ZONEFILE}</code>" genutzt wird.


  $ dig -t TXT +short default._domainkey.hs-example.de @dns1.hostsharing.net
Die Veröffentlichung ddes Domainkeys ist dann mit einem einfachen "touch"-Befehl möglich.


("hs-example.de" durch die eigene Domain ersetzen) einen Schlüssel in der Form:
<syntaxhighlight lang=shell>
touch doms/hs-example.de/etc/pri.hs-example.de
</syntaxhighlight>


  v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjAN [...]"
Daraufhin erstellt das System automatisch einen Domain-Key und veröffentlicht ihn.
Etwa drei Minuten nach dem "touch" liefert der Befehl


== Domainoption DKIM ==
<syntaxhighlight lang=shell>
dig -t TXT +short default._domainkey.hs-example.de @dns1.hostsharing.net
</syntaxhighlight>
 
("hs-example.de" durch die eigene Domain ersetzen)
 
einen Schlüssel in der Form:
 
<syntaxhighlight lang=ini>
v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjAN [...]"
</syntaxhighlight>
 
=== Domainoption DKIM ===


Über die Domainoption "Domain Key – DKIM" wird gesteuert, dass der SMTP-Server, auf dem der Webspace mit der Domain liegt, die ausgehenden E-Mail mit einer DKIM-Signatur ausstattet.
Über die Domainoption "Domain Key – DKIM" wird gesteuert, dass der SMTP-Server, auf dem der Webspace mit der Domain liegt, die ausgehenden E-Mail mit einer DKIM-Signatur ausstattet.
Zeile 61: Zeile 74:
== DKIM bei Google ==
== DKIM bei Google ==


Die Server von ''gmail'' sind so eingestellt, dass E-Mails von Domains ohne DKIM oder [[SPF]] nicht zugestellt werden. Die Empfängerseite wird nicht informiert. An die Absenderseite geht eine Fehlermeldung in der Art:
Die Server von ''gmail'' sind so eingestellt, dass E-Mails von Domains ohne DKIM oder SPF nicht zugestellt werden. Die Empfängerseite wird nicht informiert. An die Absenderseite geht eine Fehlermeldung in der Art:
<Blockquote>... host gmail-smtp-in.l.google.com[2a00:1450:4010:c0f::1a] said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. 550-5.7.26  550-5.7.26  Authentication results: 550-5.7.26  DKIM = did not pass 550-5.7.26 ...</blockquote>
<Blockquote>... host gmail-smtp-in.l.google.com[2a00:1450:4010:c0f::1a] said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. 550-5.7.26  550-5.7.26  Authentication results: 550-5.7.26  DKIM = did not pass 550-5.7.26 ...</blockquote>
Dieser Google-Support-Artikel: [https://support.google.com/a/answer/81126 Richtlinien für E-Mail-Absender] (abgerufen am 26. Mai 2024) soll das erläutern.  
Dieser Google-Support-Artikel: [https://support.google.com/a/answer/81126 Richtlinien für E-Mail-Absender] (abgerufen am 26. Mai 2024) soll das erläutern.


Leider kommt diese Fehlermeldung im Mai 2024 auch zu einer E-Mail bei deren Domain DKIM nachweislich aktiviert ist (gehostet bei Hostsharing). Es kann nur vermutet werden, dass der Fehler beim Konzern liegt.
Nach erfolgreicher Umstellung findet sich im Header einer E-Mail in Googles Posteingang Text in der Art:
<syntaxhighlight lang=ini>Authentication-Results: mx.google.com;
dkim=pass ...
spf=pass ...
</syntaxhighlight>


== Links ==
== Links ==

Aktuelle Version vom 7. November 2024, 09:56 Uhr

DomainKeys Identified Mail (DKIM)

DKIM ist ein Verfahren, dass die Authentizität einer E-Mail sicherstellen kann. Dazu wird die E-Mail auf dem sendenden System mit einer elektronischen Signatur in den unsichtbaren Headerzeilen der E-Mail versehen. Es kommt ein asymmetrisches Schlüsselverfahren zum Einsatz. Der sendende Server verwendet seinen privaten Schlüssel, um die Signatur zu erstellen.

Der öffentliche Schlüssel wird im DNS der E-Mail-Domain veröffentlicht, so dass Empfänger die Authentizität der Signatur prüfen können.

DKIM bei Hostsharing aktivieren

Die Nutzer der Hostsharing-Plattform können E-Mails, die sie über die Hostsharing-Server versenden, mit einer DKIM Signatur versehen lassen. Dazu sind zwei Voraussetzungen notwendig:

  1. Die Veröffentlichung des öffentlichen Domainkey im DNS der eigenen E-Mail-Domain.
  2. Das Setzen der Domain-Option "Domain Key – DKIM" mit Hilfe von HSAdmin.

Domainkey im DNS

Wenn ein individuell angepasstes Zonefile existiert

Wenn das Zonefile individuell angepasst wurde, muss es entweder den Platzhalter

{DEFAULT_ZONEFILE}

oder den Platzhalter

{DKIM_RR}

enthalten.

Wenn das nicht der Fall ist, muss eine der beiden Zeilen ergänzt werden.

Wenn das Zonefile nicht verändert wurde

Wenn kein Zonefile im etc-Verzeichnis der Domain vorhanden ist, bedeutet dies, dass das Default-Zonefile mit der Zeile "{DEFAULT_ZONEFILE}" genutzt wird.

Die Veröffentlichung ddes Domainkeys ist dann mit einem einfachen "touch"-Befehl möglich.

touch doms/hs-example.de/etc/pri.hs-example.de

Daraufhin erstellt das System automatisch einen Domain-Key und veröffentlicht ihn. Etwa drei Minuten nach dem "touch" liefert der Befehl

dig -t TXT +short default._domainkey.hs-example.de @dns1.hostsharing.net

("hs-example.de" durch die eigene Domain ersetzen)

einen Schlüssel in der Form:

v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjAN [...]"

Domainoption DKIM

Über die Domainoption "Domain Key – DKIM" wird gesteuert, dass der SMTP-Server, auf dem der Webspace mit der Domain liegt, die ausgehenden E-Mail mit einer DKIM-Signatur ausstattet.

Zum Anpassen der Domainoptionen wählt man in HSAdmin links den Punkt "Web-Paket" und im rechten Bereich im Menü die Auswahl "Domain". Bei Domains, die ab 3. September 2021 eingerichtet wurden, ist die Domainoption per Voreinstellung gesetzt,

Dkim-domain.png

Dkim-option.png

DKIM deaktivieren

Das Abstellen der DKIM-Option in folgender Reihenfolge wird funktionieren:

  1. Die Domainoption deaktivieren
  2. Abwarten bis alle mit der Option (und damit mit einer Signatur) versendeten E-Mail zugestellt sind
  3. Den Domainkey im DNS entfernen

DKIM bei Google

Die Server von gmail sind so eingestellt, dass E-Mails von Domains ohne DKIM oder SPF nicht zugestellt werden. Die Empfängerseite wird nicht informiert. An die Absenderseite geht eine Fehlermeldung in der Art:

... host gmail-smtp-in.l.google.com[2a00:1450:4010:c0f::1a] said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. 550-5.7.26 550-5.7.26 Authentication results: 550-5.7.26 DKIM = did not pass 550-5.7.26 ...

Dieser Google-Support-Artikel: Richtlinien für E-Mail-Absender (abgerufen am 26. Mai 2024) soll das erläutern.

Nach erfolgreicher Umstellung findet sich im Header einer E-Mail in Googles Posteingang Text in der Art:

Authentication-Results: mx.google.com;
dkim=pass ...
spf=pass ...

Links