Kb mx general: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| (6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 17: | Zeile 17: | ||
email-security-scans.org | email-security-scans.org | ||
=E-Mail Antispam Maßnahmen und Echtheitsprüfung= | |||
'''Vorausgesetzt, dass der gegnerische E-Mailserver vernünftig konfiguriert wurde, werden nur E-Mails von unserem Relay zugestellt. Das bedeutet im Umkehrschluss, dass durch die Maßnahmen genauso der Ursprung der Mail festgestellt werden kann. Damit ist der versendende Accountbenutzer vollumfänglich für seine Nachrichten verantwortlich.''' | |||
Alle Maßnahmen zielen darauf ab, uns selbst als legitimer E-Mail-Versender unserer Domains darzustellen und zeitgleich alle mittbräuchlichen "Domainverwender" ausfiltern zu lassen. | |||
Umgekehrt verwenden wir die selben Technologien um eingehende E-Mails auf Echtheit zu überprüfen. | |||
<div class="noprint">...</div> | |||
==DNS Zone - MX Record== | |||
Mail Exchange Resource | |||
'''<none>.lachcraft.cloud''' ''MX 10'' smarthost.lachcraft.cloud. | |||
Anschlusspunkt für unser Emailrelay - dieser MX Record ist für den gegenüberliegenden VERSENDENDEN Mailserver unerlässlich! | |||
==DNS Zone - A Record== | |||
'''smarthost.lachcraft.cloud''' ''A 0'' 80.151.27.133 | |||
'''smarthost.lachcraft.cloud''' ''AAAA 0'' 2003:a:141b:85f1:280:10ff:fe0f:876e | |||
Hierauf löst der MX 10 Record auf. Dieser Record und diese IP Adressen sind die eigentlichen offiziellen Ein- und Austrittspunkte für alle E-Mails von allen unseren eigenen Domains<br> | |||
===rDNS Adresse=== | |||
'''WICHTIG!''' Der Mailserver selber (!) ist mit dem A-Record verbunden. Andere Domains welche sich auf Postfächer beziehen benötigen keinen rDNS. Die E-Mails werden stets mit der angebundenen Domain des Mailservers übermittelt. Der rDNS wird in alle dem Mailserver zulaufenden IPs eingetragen | |||
==DNS Zone - SPF Record== | |||
Sender Policy Framework | |||
'''<none>.lachcraft.cloud''' ''TXT 0'' v=spf1 +mx -all | |||
Legitimierung E-Mail Domain | |||
{| | |||
|'''Tag''' | |||
|'''Wert''' | |||
|'''Erklärung''' | |||
|- | |||
| v | |||
| spf1 | |||
| Protokollversion | |||
|- | |||
| | |||
| n/a | |||
| Standard IP in der DNS Zone ist berechtigt Mails zu versenden: <none> = nein, "+a" = ja | |||
|- | |||
| +mx | |||
| n/a | |||
| Dürfen eingetragene MX Records Mails versenden: <none> = nein, "+mx" = ja | |||
|- | |||
| +a | |||
| <none> | |||
| Dürfen zusätzliche A/AAAA Records Mails versenden: <none> = nein, "a:sub.domain.tld" = ja (mehrere Einträge jeweils einzeln mit a:...) | |||
|- | |||
| +mx | |||
| <none> | |||
| zusätzliche MX Records autorisieren: <none> = nein, "mx:sub.domain.tld" (mehrere Einträge jeweils einzeln mit mc:...) | |||
|- | |||
| +ip4 | |||
| <none> | |||
| zusätzliche IPv4 Adressen autorisieren: <none> = nein, "ip4:0.0.0.0" oder "ip4:0.0.0.0/0" | |||
|- | |||
| +ip6 | |||
| <none> | |||
| zusätzliche IPv6 Adressen autorisieren: <none> = nein, "ip6:0000:0000:0000:0000:0000:0000:0000:0000" | |||
|- | |||
| _all | |||
| ~ | |||
| Qualifikation, alle anderen: + = autorisieren, - = nicht autorisieren, ~ = akzeptiert aber markiert, ? = neutral, werden vorraussichtlich akzeptiert | |||
|} | |||
Der SPF Record gibt dem EMPFANGENDEN Mailserver die Informationen mit, von welchen IP-Adressen wir unsere Mails versenden. Bei allen anderen IP-Adressen weisen wir den gegnerischen Host an diese E-Mails zu markieren. Fachlich werden dadurch gespoofte Mails erkenntlich gemacht.<br> | |||
Komplett verbieten ist mit Problemen verbunden, weil gelegentlich E-Mailserver die Mails zu einem anderen Mailserver weiter relayen und DORT dann den SPF prüfen, der dann fehl schlägt. Man muss überlegen, ob man - oder ~ benutzt. | |||
===SPF - Kein Mailversand=== | |||
<none>.domain.tld TXT 0 v=spf1 -all exp=exp.spf.domain.tld | |||
exp.spf.domain.tld TXT 0 For SPF test: No official mail server! | |||
Hiermit wird dem gegnerischen Mailserver mitgeteilt, dass auf dieser Domain offiziell keine E-Mails versendet werden. | |||
==DNS Zone - DKIM Record== | |||
DomainKeys Identified Mail | |||
==DKIM KEY== | |||
'''dkim._domainkey.lachcraft.cloud''' ''TXT 0'' v=DKIM1; h=sha1:sha256; k=rsa; s=email; t=s; n=signed_by_LachCraft_public_mail_relay; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuZMUnK/ay2YTYUuEdySWDmMz/WdzPHUl4IWMdmFXDl9y7dj7fAdLaCVzN5dK5084hqOuWy74AwramQCx1NOfWYuqEdUolkfE6/OytFH8+dJLzuya+3EaTcdAETgN+pWdHyRr1aVWLNJR83SH2m82pqNbw74JukSWi+wJpl9JtSbfykogIEzzvL07dGsmC/aGoHvi4Twwzck4i4MJ+e5QzdlKzHooPZFCv3IpBeD39OEnNOCHHQkKE4pCPEoB6KLFOahkhi0NthNe6qaLAqCCr2Ku5dQBw1Iw8vtOMicFnrEN63Sh8wq2sLv9/KABZVtOVskaEKxxKizskGmTOS3zMQIDAQAB | |||
{| | |||
|'''Tag''' | |||
|'''Wert''' | |||
|'''Erklärung''' | |||
|- | |||
|v | |||
|DKIM1 | |||
|Protokollangabe | |||
|- | |||
|h | |||
|sha1:sha256 | |||
|akzeptierte Algorhytmen: sha1, sha256 | |||
|- | |||
|k | |||
|rsa | |||
|Schlüsseltyp: rsa, ed25519 | |||
|- | |||
|n | |||
|signed_by_LachCraft_public_mail_relay | |||
|Kommentarfeld für Personen | |||
|- | |||
|p | |||
|MII...QAB | |||
|BASE64 public key | |||
|- | |||
|s | |||
|email | |||
|Aktivierte Servicetypen: email (mehr gibt es noch nicht) | |||
|- | |||
|t | |||
|s | |||
|Service-Modus: y = Testmodus, s = strikter Modus (Kontrolle muss durchgeführt werden) | |||
|} | |||
Mit diesem DKIM Record werden die Emails VON unserem Relay aus alle E-Mails mit einem Schlüssel signiert. Der EMPFANGENDE Mailserver liest den Hash aus der E-Mail aus und vergleicht diesen mit dem Prüfschlüssel in dieser Domain. Wir geben die Information aus, dass nur exakte Übereinstimmungen angenommen werden sollen. Für gegnerische Administratoren gibt es einen Kommentar, damit bei Fehlersuchen der Record zuzuordnen ist. | |||
===DKIM - PUBLIC KEY=== | |||
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuZMUnK/ay2YTYUuEdySWDmMz/WdzPHUl4IWMdmFXDl9y7dj7fAdLaCVzN5dK5084hqOuWy74AwramQCx1NOfWYuqEdUolkfE6/OytFH8+dJLzuya+3EaTcdAETgN+pWdHyRr1aVWLNJR83SH2m82pqNbw74JukSWi+wJpl9JtSbfykogIEzzvL07dGsmC/aGoHvi4Twwzck4i4MJ+e5QzdlKzHooPZFCv3IpBeD39OEnNOCHHQkKE4pCPEoB6KLFOahkhi0NthNe6qaLAqCCr2Ku5dQBw1Iw8vtOMicFnrEN63Sh8wq2sLv9/KABZVtOVskaEKxxKizskGmTOS3zMQIDAQAB | |||
==DNS Zone - DKIM SIGNATUR POLICY== | |||
'''_domainkey.lachcraft.cloud''' ''TXT 0'' o=- | |||
{| | |||
| Tag | |||
| Wert | |||
| Erklärung | |||
|- | |||
| o= | |||
| - | |||
| Angabe ob alle E-Mails signiert werden: ~ = nicht alle, - = alle | |||
|} | |||
==DNS Zone - DMARC Record== | |||
Domain-based Message Authentication, Reporting and Conformance | |||
'''_dmarc.lachcraft.cloud''' ''TXT 0'' v=DMARC1; p=quarantine; sp=quarantine; pct=100; rua=mailto:monitoring@lachcraft.cloud,mailto:re+twocuiw2d5p@dmarc.postmarkapp.com; ruf=mailto:monitoring@lachcraft.cloud; fo=0:1:d:s; adkim=s; aspf=s; rf=afrf; ri=86400 | |||
{| | |||
|'''Tag''' | |||
|'''Wert''' | |||
|'''Erklärung''' | |||
|- | |||
|v | |||
|DMARK1 | |||
|Protokollversion. Bisher nur DMARC1 verfügbar | |||
|- | |||
|p | |||
|strict | |||
|Richtlinien: none=ignorieren, quarantine=markieren, strict=löschen | |||
|- | |||
|sp | |||
|strict | |||
|Richtlinien: none=ignorieren, quarantine=markieren, strict=löschen | |||
|- | |||
|pct | |||
|100 | |||
|Richtlinie auf einen Prozentsatz der _fehlerhaften_ E-Mails anwenden | |||
|- | |||
|rua | |||
|mailto:monitoring@lachcraft.cloud,mailto:re+twocuiw2d5p@dmarc.postmarkapp.com | |||
|XML-Feedback der ISPs an diese Adresse senden<br>https://dmarc.postmarkapp.com/ Zusätzliche aufbereitete Auswertung von Postmarkapp. Report an monitoring@lachcraft.cloud | |||
|- | |||
|ruf | |||
|mailto:monitoring@lachcraft.cloud | |||
|Forensische Berichte der ISPs an diese Adresse senden. | |||
|- | |||
|fo | |||
|0:1:d:s | |||
|Forensische Optionen: 0=DKIM and SPF failed, 1=DKIM or SPF failed, d=DKIM failed, s=SPF failed | |||
|- | |||
|adkim | |||
|s | |||
|Übereinstimmung der Signaturdomain: r=relaxed/entspannt, s=strict/streng | |||
|- | |||
|aspf | |||
|s | |||
|Übereinstimmung der Signaturdomain: r=relaxed/entspannt, s=strict/streng | |||
|- | |||
|rf | |||
|afrf | |||
|Berichtsformat: afrf oder iodef | |||
|- | |||
|ri | |||
|86400 | |||
|Berichtsintervall | |||
|} | |||
Der DMARC Record ist eine Anweisung an den empfangenden Mailserver wie er mit allen unseren Domains umgehen soll. Es steht bewusst nicht "alle unseren Mails" geschrieben, da auch oft genug Personen versuchen, den E-Mail Header zu fälschen. Trifft eine gefälschte E-Mail ein, so besagt die Anweisung was explizit zutreffen und und wie mit der Mail dann vorgegangen werden soll. | |||
===DMARC - Zusatzdomains=== | |||
'''domain.tld._report._dmarc.lachcraft.cloud''' ''TXT 0'' v=DMARC1 | |||
Reports unterschiedlicher Domains müssen an der E-Mail-Eigentümer-Domain validiert werden. | |||
==DNS Zone - ADSP Record== | |||
Author Domain Signing Practices | |||
'''_adsp._domainkey.lachcraft.cloud''' ''txt 0'' dkim=discardable | |||
{| | |||
|'''Tag''' | |||
|'''Wert''' | |||
|'''Erklärung''' | |||
|- | |||
| dkim | |||
| all | |||
| unknown = nicht definiert, all = alle signiert, discardable = alle unsignierten Mails verwerfen | |||
|} | |||
Gibt dem gegnerischen Server Anweisungen bezüglich der DKIM-Signatur. | |||
==DNS Zone - DNSWL== | |||
https://www.dnswl.org/ - Mail reputation – Protect against false positives | |||
'''_token._dnswl.lachcraft.cloud''' ''txt'' 0 64vk6tcqccqjtm79mfm09yx7kadlrbvi | |||
Maßnahmen gegen false-positive Vorfälle beim gegnerischen Mailserver, Steigerung der Reputation | |||
==DNS Zone - MTA-STS== | |||
Maßnahmen gegen MITM-Attacken. | |||
Wir geben an, dass wir verschlüsselt übertragen wollen und welche Domain das darf. Dafür müssen authentifizierte Zertifikate vorliegen. Durch die festen Vorgaben können keine Zertifikate ausgetauscht werden.<br> | |||
'''Die Konfiguration ist für Kommunikation zwischen Mailservern relevant.''' | |||
'''mta-sts.lachcraft.cloud''' A ''80.151.27.133'' | |||
Zeigt auf den Webserver. Folgende URL muss auflösbar sein: mta-sts.ast-network.com/.well-known/mta-sts.txt | |||
Inhalt der Datei: | |||
version: STSv1 | |||
mode: enforce | |||
mx: smarthost.lachcraft.cloud | |||
max_age: 2628000 | |||
'''_mta-sts.lachcraft.cloud''' txt ''v=STSv1; id=20241022'' | |||
Angabe, dass MTA-STS verwendet wird. Die ID muss bei jeder Änderung der mta-sts.txt Datei verändert werden, damit der gegenüberliegende Server weiß, dass sich was änderte. | |||
'''_smtp._tls.lachcraft.cloud''' txt ''v=TLSRPTv1;rua=mailto:monitoring@lachcraft.cloud'' | |||
Angabe, wohin Fehlerreports hingeschickt werden sollen | |||
Aktuelle Version vom 20. Dezember 2024, 11:31 Uhr
MX Host 80.151.27.133
MX Host 2003:a:141b:8501:280:10ff:fe0f:876e
MTA-STS
DANE
DNSSEC
SSL
email-security-scans.org
E-Mail Antispam Maßnahmen und Echtheitsprüfung
Vorausgesetzt, dass der gegnerische E-Mailserver vernünftig konfiguriert wurde, werden nur E-Mails von unserem Relay zugestellt. Das bedeutet im Umkehrschluss, dass durch die Maßnahmen genauso der Ursprung der Mail festgestellt werden kann. Damit ist der versendende Accountbenutzer vollumfänglich für seine Nachrichten verantwortlich.
Alle Maßnahmen zielen darauf ab, uns selbst als legitimer E-Mail-Versender unserer Domains darzustellen und zeitgleich alle mittbräuchlichen "Domainverwender" ausfiltern zu lassen. Umgekehrt verwenden wir die selben Technologien um eingehende E-Mails auf Echtheit zu überprüfen.
DNS Zone - MX Record
Mail Exchange Resource
<none>.lachcraft.cloud MX 10 smarthost.lachcraft.cloud.
Anschlusspunkt für unser Emailrelay - dieser MX Record ist für den gegenüberliegenden VERSENDENDEN Mailserver unerlässlich!
DNS Zone - A Record
smarthost.lachcraft.cloud A 0 80.151.27.133 smarthost.lachcraft.cloud AAAA 0 2003:a:141b:85f1:280:10ff:fe0f:876e
Hierauf löst der MX 10 Record auf. Dieser Record und diese IP Adressen sind die eigentlichen offiziellen Ein- und Austrittspunkte für alle E-Mails von allen unseren eigenen Domains
rDNS Adresse
WICHTIG! Der Mailserver selber (!) ist mit dem A-Record verbunden. Andere Domains welche sich auf Postfächer beziehen benötigen keinen rDNS. Die E-Mails werden stets mit der angebundenen Domain des Mailservers übermittelt. Der rDNS wird in alle dem Mailserver zulaufenden IPs eingetragen
DNS Zone - SPF Record
Sender Policy Framework
<none>.lachcraft.cloud TXT 0 v=spf1 +mx -all
Legitimierung E-Mail Domain
| Tag | Wert | Erklärung |
| v | spf1 | Protokollversion |
| n/a | Standard IP in der DNS Zone ist berechtigt Mails zu versenden: <none> = nein, "+a" = ja | |
| +mx | n/a | Dürfen eingetragene MX Records Mails versenden: <none> = nein, "+mx" = ja |
| +a | <none> | Dürfen zusätzliche A/AAAA Records Mails versenden: <none> = nein, "a:sub.domain.tld" = ja (mehrere Einträge jeweils einzeln mit a:...) |
| +mx | <none> | zusätzliche MX Records autorisieren: <none> = nein, "mx:sub.domain.tld" (mehrere Einträge jeweils einzeln mit mc:...) |
| +ip4 | <none> | zusätzliche IPv4 Adressen autorisieren: <none> = nein, "ip4:0.0.0.0" oder "ip4:0.0.0.0/0" |
| +ip6 | <none> | zusätzliche IPv6 Adressen autorisieren: <none> = nein, "ip6:0000:0000:0000:0000:0000:0000:0000:0000" |
| _all | ~ | Qualifikation, alle anderen: + = autorisieren, - = nicht autorisieren, ~ = akzeptiert aber markiert, ? = neutral, werden vorraussichtlich akzeptiert |
Der SPF Record gibt dem EMPFANGENDEN Mailserver die Informationen mit, von welchen IP-Adressen wir unsere Mails versenden. Bei allen anderen IP-Adressen weisen wir den gegnerischen Host an diese E-Mails zu markieren. Fachlich werden dadurch gespoofte Mails erkenntlich gemacht.
Komplett verbieten ist mit Problemen verbunden, weil gelegentlich E-Mailserver die Mails zu einem anderen Mailserver weiter relayen und DORT dann den SPF prüfen, der dann fehl schlägt. Man muss überlegen, ob man - oder ~ benutzt.
SPF - Kein Mailversand
<none>.domain.tld TXT 0 v=spf1 -all exp=exp.spf.domain.tld exp.spf.domain.tld TXT 0 For SPF test: No official mail server!
Hiermit wird dem gegnerischen Mailserver mitgeteilt, dass auf dieser Domain offiziell keine E-Mails versendet werden.
DNS Zone - DKIM Record
DomainKeys Identified Mail
DKIM KEY
dkim._domainkey.lachcraft.cloud TXT 0 v=DKIM1; h=sha1:sha256; k=rsa; s=email; t=s; n=signed_by_LachCraft_public_mail_relay; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuZMUnK/ay2YTYUuEdySWDmMz/WdzPHUl4IWMdmFXDl9y7dj7fAdLaCVzN5dK5084hqOuWy74AwramQCx1NOfWYuqEdUolkfE6/OytFH8+dJLzuya+3EaTcdAETgN+pWdHyRr1aVWLNJR83SH2m82pqNbw74JukSWi+wJpl9JtSbfykogIEzzvL07dGsmC/aGoHvi4Twwzck4i4MJ+e5QzdlKzHooPZFCv3IpBeD39OEnNOCHHQkKE4pCPEoB6KLFOahkhi0NthNe6qaLAqCCr2Ku5dQBw1Iw8vtOMicFnrEN63Sh8wq2sLv9/KABZVtOVskaEKxxKizskGmTOS3zMQIDAQAB
| Tag | Wert | Erklärung |
| v | DKIM1 | Protokollangabe |
| h | sha1:sha256 | akzeptierte Algorhytmen: sha1, sha256 |
| k | rsa | Schlüsseltyp: rsa, ed25519 |
| n | signed_by_LachCraft_public_mail_relay | Kommentarfeld für Personen |
| p | MII...QAB | BASE64 public key |
| s | Aktivierte Servicetypen: email (mehr gibt es noch nicht) | |
| t | s | Service-Modus: y = Testmodus, s = strikter Modus (Kontrolle muss durchgeführt werden) |
Mit diesem DKIM Record werden die Emails VON unserem Relay aus alle E-Mails mit einem Schlüssel signiert. Der EMPFANGENDE Mailserver liest den Hash aus der E-Mail aus und vergleicht diesen mit dem Prüfschlüssel in dieser Domain. Wir geben die Information aus, dass nur exakte Übereinstimmungen angenommen werden sollen. Für gegnerische Administratoren gibt es einen Kommentar, damit bei Fehlersuchen der Record zuzuordnen ist.
DKIM - PUBLIC KEY
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuZMUnK/ay2YTYUuEdySWDmMz/WdzPHUl4IWMdmFXDl9y7dj7fAdLaCVzN5dK5084hqOuWy74AwramQCx1NOfWYuqEdUolkfE6/OytFH8+dJLzuya+3EaTcdAETgN+pWdHyRr1aVWLNJR83SH2m82pqNbw74JukSWi+wJpl9JtSbfykogIEzzvL07dGsmC/aGoHvi4Twwzck4i4MJ+e5QzdlKzHooPZFCv3IpBeD39OEnNOCHHQkKE4pCPEoB6KLFOahkhi0NthNe6qaLAqCCr2Ku5dQBw1Iw8vtOMicFnrEN63Sh8wq2sLv9/KABZVtOVskaEKxxKizskGmTOS3zMQIDAQAB
DNS Zone - DKIM SIGNATUR POLICY
_domainkey.lachcraft.cloud TXT 0 o=-
| Tag | Wert | Erklärung |
| o= | - | Angabe ob alle E-Mails signiert werden: ~ = nicht alle, - = alle |
DNS Zone - DMARC Record
Domain-based Message Authentication, Reporting and Conformance
_dmarc.lachcraft.cloud TXT 0 v=DMARC1; p=quarantine; sp=quarantine; pct=100; rua=mailto:monitoring@lachcraft.cloud,mailto:re+twocuiw2d5p@dmarc.postmarkapp.com; ruf=mailto:monitoring@lachcraft.cloud; fo=0:1:d:s; adkim=s; aspf=s; rf=afrf; ri=86400
| Tag | Wert | Erklärung |
| v | DMARK1 | Protokollversion. Bisher nur DMARC1 verfügbar |
| p | strict | Richtlinien: none=ignorieren, quarantine=markieren, strict=löschen |
| sp | strict | Richtlinien: none=ignorieren, quarantine=markieren, strict=löschen |
| pct | 100 | Richtlinie auf einen Prozentsatz der _fehlerhaften_ E-Mails anwenden |
| rua | mailto:monitoring@lachcraft.cloud,mailto:re+twocuiw2d5p@dmarc.postmarkapp.com | XML-Feedback der ISPs an diese Adresse senden https://dmarc.postmarkapp.com/ Zusätzliche aufbereitete Auswertung von Postmarkapp. Report an monitoring@lachcraft.cloud |
| ruf | mailto:monitoring@lachcraft.cloud | Forensische Berichte der ISPs an diese Adresse senden. |
| fo | 0:1:d:s | Forensische Optionen: 0=DKIM and SPF failed, 1=DKIM or SPF failed, d=DKIM failed, s=SPF failed |
| adkim | s | Übereinstimmung der Signaturdomain: r=relaxed/entspannt, s=strict/streng |
| aspf | s | Übereinstimmung der Signaturdomain: r=relaxed/entspannt, s=strict/streng |
| rf | afrf | Berichtsformat: afrf oder iodef |
| ri | 86400 | Berichtsintervall |
Der DMARC Record ist eine Anweisung an den empfangenden Mailserver wie er mit allen unseren Domains umgehen soll. Es steht bewusst nicht "alle unseren Mails" geschrieben, da auch oft genug Personen versuchen, den E-Mail Header zu fälschen. Trifft eine gefälschte E-Mail ein, so besagt die Anweisung was explizit zutreffen und und wie mit der Mail dann vorgegangen werden soll.
DMARC - Zusatzdomains
domain.tld._report._dmarc.lachcraft.cloud TXT 0 v=DMARC1
Reports unterschiedlicher Domains müssen an der E-Mail-Eigentümer-Domain validiert werden.
DNS Zone - ADSP Record
Author Domain Signing Practices
_adsp._domainkey.lachcraft.cloud txt 0 dkim=discardable
| Tag | Wert | Erklärung |
| dkim | all | unknown = nicht definiert, all = alle signiert, discardable = alle unsignierten Mails verwerfen |
Gibt dem gegnerischen Server Anweisungen bezüglich der DKIM-Signatur.
DNS Zone - DNSWL
https://www.dnswl.org/ - Mail reputation – Protect against false positives
_token._dnswl.lachcraft.cloud txt 0 64vk6tcqccqjtm79mfm09yx7kadlrbvi
Maßnahmen gegen false-positive Vorfälle beim gegnerischen Mailserver, Steigerung der Reputation
DNS Zone - MTA-STS
Maßnahmen gegen MITM-Attacken.
Wir geben an, dass wir verschlüsselt übertragen wollen und welche Domain das darf. Dafür müssen authentifizierte Zertifikate vorliegen. Durch die festen Vorgaben können keine Zertifikate ausgetauscht werden.
Die Konfiguration ist für Kommunikation zwischen Mailservern relevant.
mta-sts.lachcraft.cloud A 80.151.27.133
Zeigt auf den Webserver. Folgende URL muss auflösbar sein: mta-sts.ast-network.com/.well-known/mta-sts.txt
Inhalt der Datei:
version: STSv1 mode: enforce mx: smarthost.lachcraft.cloud max_age: 2628000
_mta-sts.lachcraft.cloud txt v=STSv1; id=20241022
Angabe, dass MTA-STS verwendet wird. Die ID muss bei jeder Änderung der mta-sts.txt Datei verändert werden, damit der gegenüberliegende Server weiß, dass sich was änderte.
_smtp._tls.lachcraft.cloud txt v=TLSRPTv1;rua=mailto:monitoring@lachcraft.cloud
Angabe, wohin Fehlerreports hingeschickt werden sollen