Kb mx general: Unterschied zwischen den Versionen

Aus LachCraft.cloud Knowledgebase
Zur Navigation springen Zur Suche springen
← Zum vorherigen Versionsunterschied
Keine Bearbeitungszusammenfassung
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 20: Zeile 20:


=E-Mail Antispam Maßnahmen und Echtheitsprüfung=
=E-Mail Antispam Maßnahmen und Echtheitsprüfung=
'''Vorausgesetzt, dass der gegnerische E-Mailserver vernünftig konfiguriert wurde, werden nur AST-E-Mails von unserem Relay zugestellt. Das bedeutet im Umkehrschluss, dass durch die Maßnahmen genauso der Ursprung der Mail festgestellt werden kann. Damit ist der versendende Accountbenutzer vollumfänglich für seine Nachrichten verantwortlich.'''
'''Vorausgesetzt, dass der gegnerische E-Mailserver vernünftig konfiguriert wurde, werden nur E-Mails von unserem Relay zugestellt. Das bedeutet im Umkehrschluss, dass durch die Maßnahmen genauso der Ursprung der Mail festgestellt werden kann. Damit ist der versendende Accountbenutzer vollumfänglich für seine Nachrichten verantwortlich.'''


Alle Maßnahmen zielen darauf ab, uns selbst als legitimer E-Mail-Versender unserer Domains darzustellen und zeitgleich alle mittbräuchlichen "Domainverwender" ausfiltern zu lassen.
Alle Maßnahmen zielen darauf ab, uns selbst als legitimer E-Mail-Versender unserer Domains darzustellen und zeitgleich alle mittbräuchlichen "Domainverwender" ausfiltern zu lassen.
Zeile 30: Zeile 30:
Mail Exchange Resource
Mail Exchange Resource


  '''<none>.ast-kanister.de''' ''MX 10'' smarthost.ast-network.com.
  '''<none>.lachcraft.cloud''' ''MX 10'' smarthost.lachcraft.cloud.
Anschlusspunkt für unser Emailrelay - dieser MX Record ist für den gegenüberliegenden VERSENDENDEN Mailserver unerlässlich!
Anschlusspunkt für unser Emailrelay - dieser MX Record ist für den gegenüberliegenden VERSENDENDEN Mailserver unerlässlich!


==DNS Zone - A Record==
==DNS Zone - A Record==
  '''smarthost.ast-network.com''' ''A 0'' 80.149.57.117
  '''smarthost.lachcraft.cloud''' ''A 0'' 80.151.27.133
  '''smarthost.ast-network.com''' ''A 0'' 93.241.222.26
  '''smarthost.lachcraft.cloud''' ''AAAA 0'' 2003:a:141b:85f1:280:10ff:fe0f:876e
Hierauf löst der MX 10 Record auf. Dieser Record und diese IP Adressen sind die eigentlichen offiziellen Ein- und Austrittspunkte für alle E-Mails von allen unseren eigenen Domains<br>
Hierauf löst der MX 10 Record auf. Dieser Record und diese IP Adressen sind die eigentlichen offiziellen Ein- und Austrittspunkte für alle E-Mails von allen unseren eigenen Domains<br>
Diese Liste ist eine Round Robin - Technik, per "Zufall" wird immer eine der angegebenen IPs dem zu sendenden Server übergeben. Damit kann man eine Art Redundanz gewährleisten.


===rDNS Adresse===
===rDNS Adresse===
Zeile 45: Zeile 44:
Sender Policy Framework
Sender Policy Framework


  '''<none>.ast-kanister.de''' ''TXT 0'' v=spf1 +mx ~all
  '''<none>.lachcraft.cloud''' ''TXT 0'' v=spf1 +mx -all
Legitimierung E-Mail Domain
Legitimierung E-Mail Domain
{|
{|
Zeile 85: Zeile 84:
|}
|}
Der SPF Record gibt dem EMPFANGENDEN Mailserver die Informationen mit, von welchen IP-Adressen wir unsere Mails versenden. Bei allen anderen IP-Adressen weisen wir den gegnerischen Host an diese E-Mails zu markieren. Fachlich werden dadurch gespoofte Mails erkenntlich gemacht.<br>
Der SPF Record gibt dem EMPFANGENDEN Mailserver die Informationen mit, von welchen IP-Adressen wir unsere Mails versenden. Bei allen anderen IP-Adressen weisen wir den gegnerischen Host an diese E-Mails zu markieren. Fachlich werden dadurch gespoofte Mails erkenntlich gemacht.<br>
Komplett verbieten ist mit Problemen verbunden, weil gelegentlich E-Mailserver die Mails zu einem anderen Mailserver weiterleiten und dadurch die prüfbaren Daten verfälschen. Darum ist der Einsatz von '''~all''' leider empfehlenswert.
Komplett verbieten ist mit Problemen verbunden, weil gelegentlich E-Mailserver die Mails zu einem anderen Mailserver weiter relayen und DORT dann den SPF prüfen, der dann fehl schlägt. Man muss überlegen, ob man - oder ~ benutzt.




===SPF - Kein Mailversand===
===SPF - Kein Mailversand===
  <none>.ast-cans.de TXT 0 v=spf1 -all exp=exp.spf.ast-cans.de
  <none>.domain.tld TXT 0 v=spf1 -all exp=exp.spf.domain.tld
  exp.spf.ast-cans.de TXT 0 For SPF test: No official mail server!
  exp.spf.domain.tld TXT 0 For SPF test: No official mail server!
Hiermit wird dem gegnerischen Mailserver mitgeteilt, dass auf dieser Domain offiziell keine E-Mails versendet werden.
Hiermit wird dem gegnerischen Mailserver mitgeteilt, dass auf dieser Domain offiziell keine E-Mails versendet werden.


Zeile 97: Zeile 96:


==DKIM KEY==
==DKIM KEY==
  '''utm._domainkey.ast-kanister.de''' ''TXT 0'' v=DKIM1; h=sha1:sha256; k=rsa; s=email; t=s; n=signed_by_AST_public_mail_relay; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuMFBM4m0S37cfvzsSCW9pBuOjPZT620aRYdaKDxg1svaLqEbr1pQ3C4JADiUzJeQhJBn+rjZHZ0OTBrRbqzoAS8UnpWoTG310QjS4cBK7SZOHxrgC5+Hb/YtU4CpNOcG4QtZe/6h8oDrYbIPqMKPDJLpfvgJp9xY9Dr8IHgpQ/0SfKbq6MbzOUTQV9f9fGiWYRH5C7j6Wt+eXwOVtzZoBJD6in1gcJEQ54rpBiAcZJQ0L/85k4jPZqXbHe+SkVdwe+laXhiUkl0Ys4twGz4GFeyewXMX69rpr6cOa2T7sOoZ3Z3G0eFHlVwr6g5VZQqHsp9OQ9qvgbkxaiNNFxTGcwIDAQAB
  '''dkim._domainkey.lachcraft.cloud''' ''TXT 0'' v=DKIM1; h=sha1:sha256; k=rsa; s=email; t=s; n=signed_by_LachCraft_public_mail_relay; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuZMUnK/ay2YTYUuEdySWDmMz/WdzPHUl4IWMdmFXDl9y7dj7fAdLaCVzN5dK5084hqOuWy74AwramQCx1NOfWYuqEdUolkfE6/OytFH8+dJLzuya+3EaTcdAETgN+pWdHyRr1aVWLNJR83SH2m82pqNbw74JukSWi+wJpl9JtSbfykogIEzzvL07dGsmC/aGoHvi4Twwzck4i4MJ+e5QzdlKzHooPZFCv3IpBeD39OEnNOCHHQkKE4pCPEoB6KLFOahkhi0NthNe6qaLAqCCr2Ku5dQBw1Iw8vtOMicFnrEN63Sh8wq2sLv9/KABZVtOVskaEKxxKizskGmTOS3zMQIDAQAB
{|
{|
|'''Tag'''
|'''Tag'''
Zeile 116: Zeile 115:
|-
|-
|n
|n
|signed_by_AST_public_mail_relay
|signed_by_LachCraft_public_mail_relay
|Kommentarfeld für Personen
|Kommentarfeld für Personen
|-
|-
Zeile 132: Zeile 131:
|}
|}
Mit diesem DKIM Record werden die Emails VON unserem Relay aus alle E-Mails mit einem Schlüssel signiert. Der EMPFANGENDE Mailserver liest den Hash aus der E-Mail aus und vergleicht diesen mit dem Prüfschlüssel in dieser Domain. Wir geben die Information aus, dass nur exakte Übereinstimmungen angenommen werden sollen. Für gegnerische Administratoren gibt es einen Kommentar, damit bei Fehlersuchen der Record zuzuordnen ist.
Mit diesem DKIM Record werden die Emails VON unserem Relay aus alle E-Mails mit einem Schlüssel signiert. Der EMPFANGENDE Mailserver liest den Hash aus der E-Mail aus und vergleicht diesen mit dem Prüfschlüssel in dieser Domain. Wir geben die Information aus, dass nur exakte Übereinstimmungen angenommen werden sollen. Für gegnerische Administratoren gibt es einen Kommentar, damit bei Fehlersuchen der Record zuzuordnen ist.
===DKIM - PRIVATE KEY===
<div class="noprint">
-----BEGIN RSA PRIVATE KEY-----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<QYI=
-----END RSA PRIVATE KEY-----
</div>


===DKIM - PUBLIC KEY===
===DKIM - PUBLIC KEY===
  MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuMFBM4m0S37cfvzsSCW9pBuOjPZT620aRYdaKDxg1svaLqEbr1pQ3C4JADiUzJeQhJBn+rjZHZ0OTBrRbqzoAS8UnpWoTG310QjS4cBK7SZOHxrgC5+Hb/YtU4CpNOcG4QtZe/6h8oDrYbIPqMKPDJLpfvgJp9xY9Dr8IHgpQ/0SfKbq6MbzOUTQV9f9fGiWYRH5C7j6Wt+eXwOVtzZoBJD6in1gcJEQ54rpBiAcZJQ0L/85k4jPZqXbHe+SkVdwe+laXhiUkl0Ys4twGz4GFeyewXMX69rpr6cOa2T7sOoZ3Z3G0eFHlVwr6g5VZQqHsp9OQ9qvgbkxaiNNFxTGcwIDAQAB
  MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuZMUnK/ay2YTYUuEdySWDmMz/WdzPHUl4IWMdmFXDl9y7dj7fAdLaCVzN5dK5084hqOuWy74AwramQCx1NOfWYuqEdUolkfE6/OytFH8+dJLzuya+3EaTcdAETgN+pWdHyRr1aVWLNJR83SH2m82pqNbw74JukSWi+wJpl9JtSbfykogIEzzvL07dGsmC/aGoHvi4Twwzck4i4MJ+e5QzdlKzHooPZFCv3IpBeD39OEnNOCHHQkKE4pCPEoB6KLFOahkhi0NthNe6qaLAqCCr2Ku5dQBw1Iw8vtOMicFnrEN63Sh8wq2sLv9/KABZVtOVskaEKxxKizskGmTOS3zMQIDAQAB




==DNS Zone - DKIM SIGNATUR POLICY==
==DNS Zone - DKIM SIGNATUR POLICY==
  '''_domainkey.ast-kanister.de''' ''TXT 0'' o=-
  '''_domainkey.lachcraft.cloud''' ''TXT 0'' o=-
{|
{|
| Tag
| Tag
Zeile 186: Zeile 152:
Domain-based Message Authentication, Reporting and Conformance
Domain-based Message Authentication, Reporting and Conformance


  '''_dmarc.ast-kanister.de''' ''TXT 0'' v=DMARC1; p=strict; sp=strict; pct=100; rua=mailto:dmarc-report@ast-kanister.de,mailto:re+ybatcvmmnph@dmarc.postmarkapp.com; ruf=mailto:dmarc-report@ast-kanister.de; fo=0:1:d:s; adkim=s; aspf=s; rf=afrf; ri=86400
  '''_dmarc.lachcraft.cloud''' ''TXT 0'' v=DMARC1; p=quarantine; sp=quarantine; pct=100; rua=mailto:monitoring@lachcraft.cloud,mailto:re+twocuiw2d5p@dmarc.postmarkapp.com; ruf=mailto:monitoring@lachcraft.cloud; fo=0:1:d:s; adkim=s; aspf=s; rf=afrf; ri=86400
{|
{|
|'''Tag'''
|'''Tag'''
Zeile 209: Zeile 175:
|-
|-
|rua
|rua
|mailto:dmarc-report@ast-kanister.de,re+ybatcvmmnph@dmarc.postmarkapp.com
|mailto:monitoring@lachcraft.cloud,mailto:re+twocuiw2d5p@dmarc.postmarkapp.com
|XML-Feedback der ISPs an diese Adresse senden<br>https://dmarc.postmarkapp.com/ Zusätzliche aufbereitete Auswertung von Postmarkapp. Report an it@ast-kanister.de
|XML-Feedback der ISPs an diese Adresse senden<br>https://dmarc.postmarkapp.com/ Zusätzliche aufbereitete Auswertung von Postmarkapp. Report an monitoring@lachcraft.cloud
|-
|-
|ruf
|ruf
|mailto:dmarc-report@ast-kanister.de
|mailto:monitoring@lachcraft.cloud
|Forensische Berichte der ISPs an diese Adresse senden.
|Forensische Berichte der ISPs an diese Adresse senden.
|-
|-
Zeile 239: Zeile 205:


===DMARC - Zusatzdomains===
===DMARC - Zusatzdomains===
  '''ast-benelux.be._report._dmarc.ast-kanister.de''' ''TXT 0'' v=DMARC1
  '''domain.tld._report._dmarc.lachcraft.cloud''' ''TXT 0'' v=DMARC1


Reports unterschiedlicher Domains (it@ast-kanister.de E-Mail unter ast-benelux.be Domain) müssen an der E-Mail-Eigentümer-Domain validiert werden.
Reports unterschiedlicher Domains müssen an der E-Mail-Eigentümer-Domain validiert werden.


==DNS Zone - ADSP Record==
==DNS Zone - ADSP Record==
Author Domain Signing Practices
Author Domain Signing Practices
  '''_adsp._domainkey.ast-kanister.de''' ''txt 0'' dkim=discardable
  '''_adsp._domainkey.lachcraft.cloud''' ''txt 0'' dkim=discardable
{|
{|
|'''Tag'''
|'''Tag'''
Zeile 262: Zeile 228:
https://www.dnswl.org/ - Mail reputation – Protect against false positives
https://www.dnswl.org/ - Mail reputation – Protect against false positives


  '''_token._dnswl.ast-kanister.de''' ''txt'' 0 oh34ba2d9ukv42e9w7pcqea9wz4xwlpk
  '''_token._dnswl.lachcraft.cloud''' ''txt'' 0 64vk6tcqccqjtm79mfm09yx7kadlrbvi


Maßnahmen gegen false-positive Vorfälle beim gegnerischen Mailserver, Steigerung der Reputation
Maßnahmen gegen false-positive Vorfälle beim gegnerischen Mailserver, Steigerung der Reputation
Zeile 272: Zeile 238:
'''Die Konfiguration ist für Kommunikation zwischen Mailservern relevant.'''
'''Die Konfiguration ist für Kommunikation zwischen Mailservern relevant.'''


  '''mta-sts.ast-network.com''' CNAME ''hq-isp1-port3.ast-network.com.''
  '''mta-sts.lachcraft.cloud''' A ''80.151.27.133''


Zeigt auf den Webserver. Folgende URL muss auflösbar sein: mta-sts.ast-network.com/.well-known/mta-sts.txt
Zeigt auf den Webserver. Folgende URL muss auflösbar sein: mta-sts.ast-network.com/.well-known/mta-sts.txt
Zeile 279: Zeile 245:
  version: STSv1
  version: STSv1
  mode: enforce
  mode: enforce
  mx: smarthost.ast-network.com
  mx: smarthost.lachcraft.cloud
  max_age: 2628000
  max_age: 2628000






  '''_mta-sts.ast-network.com''' txt ''v=STSv1; id=r202007090911v5''
  '''_mta-sts.lachcraft.cloud''' txt ''v=STSv1; id=20241022''


Angabe, dass MTA-STS verwendet wird. Die ID muss bei jeder Änderung der mta-sts.txt Datei verändert werden, damit der gegenüberliegende Server weiß, dass sich was änderte.
Angabe, dass MTA-STS verwendet wird. Die ID muss bei jeder Änderung der mta-sts.txt Datei verändert werden, damit der gegenüberliegende Server weiß, dass sich was änderte.
Zeile 290: Zeile 256:




  '''_smtp._tls.ast-network.com''' txt ''v=TLSRPTv1;rua=mailto:reports@ast-network.com''
  '''_smtp._tls.lachcraft.cloud''' txt ''v=TLSRPTv1;rua=mailto:monitoring@lachcraft.cloud''


Angabe, wohin Fehlerreports hingeschickt werden sollen
Angabe, wohin Fehlerreports hingeschickt werden sollen
=Der Weg einer E-Mail=
==Mitarbeiter versendet eine Mail==
(bearbeiten)
# Microsoft Outlook 2016 --> Microsoft Exchange 2019
# Microsoft Exchange --> Sophos UTM Mailserver
## Mail wird auf verschiedene Probleme hin geprüft
## Mail wird mit DKIM signiert
# Sophos UTM Mailserver löst die DNS auf
# Sophos UTM Mailserver versucht sich mit der erhaltenen IP-Adresse zu verbinden
# Sophos UTM Mailserver --> Fremder Mailserver
## Fremder Mailserver überprüft ob er für die Domain zuständig ist und ob das Postfach existiert
## Fremder Mailserver fragt die SPF Daten ab
## Fremder Mailserver fragt die DKIM Daten ab und vergleicht diese mit der Signatur
## Fremder Mailserver übernimmt die weitere Verarbeitung
# Sophos UTM Mailserver erhält eine Quittung mit entsprechenden Ergebnissen
==Mitarbeiter empfängt eine Mail==
# Externer Mail-Server --- suche @ast-kanister.de --> AST DNS Server
# Externer Mail-Server <-- MX mail.ast-network.net --- AST DNS Server
# Externer Mail-Server --- suche mail.ast-network.net --> AST DNS Server
# Externer Mail-Server <-- 80.149.57.117 --- AST DNS Server
# Externer Mail-Server --- connect 80.149.57.117 --> öffentlicher AST Mail-Server
# Externer Mail-Server --- externe Verbindung 0.0.0.0 --- öffentlicher AST Mail-Server
# Externer Mail-Server --- HELO sub.domain.tld --> öffentlicher AST Mail-Server
# Externer DNS-Server <-- DNS sub.domain.tld --- Öffentlicher AST Mail-Server
# Externer DNS-Server --- IP: 0.0.0.0 --> Öffentlicher AST Mail-Server
# Externer IP ISP <-- prüfe auf rDNS Record --- öffentlicher AST Mail-Server
# Externer IP ISP --- rDNS: mail.domain.tld ---> öffentlicher AST Mail-Server
# Externer DNS-Server <-- prüfe auf SPF Record --- öffentlicher AST Mail-Server
# Externer DNS-Server --- SPF: v=spf1 +mx=mail.domain.tld -all ---> öffentlicher AST Mail-Server
# Externer DNS-Server <-- prüfe auf DKIM Record --- öffentlicher AST Mail-Server
# Externer DNS-Server --- DKIM: RSA Schlüssel ---> öffentlicher AST Mail-Server
# Externer DNS-Server <-- ADSP Anweisung wird abgeholt --- öffentlicher AST-Mailserver
# Externer DNS-Server --- ADSP Anweisung wird abgegeben --> öffentlicher AST-Mailserver
# Externer DNS-Server <-- prüfe auf DMARC Record --- öffentlicher AST Mail-Server
# Externer DNS-Server --- DMARC: Anweisungen ---> öffentlicher AST Mail-Server
# Öffentlicher AST Mailserver --- name.vorname@ abgleichen --> interner AST Benutzerkonten-Server
# Externer Mail-Server --- E-Mail Übertragung wird abgeschlossen --> öffentlicher AST Mail-Server
# öffentlicher AST Mail-Server prüft den E-Mailinhalt auf unerwünschte und schädliche Inhalte
# öffentlicher AST Mail-Server --> Email --> interner AST Mail-Server
# interner Mail-Server --- E-Mail --> Client / Outlook
==AST Adresse wird für Spam missbraucht==
(bearbeiten)
# Fremder Mailserver erhält eine Mail angeblich von AST
# Fremder Mailserver fragt unseren DNS Server nach den berechtigten IP Adressen
# Fremder Mailserver fragt unseren DNS Server nach der Signatur
# Fremder Mailserver prüft die Mail mit den Daten gegen
# Fremder Mailserber fragt unseren DNS Server nach den Handhabungsanweisungen
# Unser DNS Server gibt dem fremden Mailserver die Aufgabe die Mail zu vernichten
== Exchange 2019 ==
---NED UPDATES---
# Exchange > ECP > mail flow > accepted domains
# Exchange > ECP > recipients > [User] > email address
# UTM > Web Protection > Filter Actions > [WhateverProfile] > insert Domains (against Proxy CA faults)
# UTM > Email Protection > Routing > Domains
# UTM > Email Protection > Advanced > DKIM Domains
# Update DNS ZONE File
=Layout=
              INTRANET AST                |        INTERNET        |              INTRANET SOMEBODY
                                            |                        |
########################################  |                        |  ########################################
#                                      #  |                        |  #                                      #
#    AST public Mailrelay              ####|########################|####          external mailhost          #
#                                      #  |          #            |  #                                      #
########################################  |          #            |  ########################################
                    #                      |          #            |
                    #                      |      ###########      |
                    #                      |      # DNSHOST #      |
                    #                      |      ###########      |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
########################################  |                        |
#                                      #  |                        |
#            AST Exchange              #  |                        |
#                                      #  |                        |
########################################  |                        |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
########################################  |                        |
#                                      #  |                        |
#        AST Client Outlook            #  |                        |
#                                      #  |                        |
########################################  |                        |
                                            |                        |
                                            |                        |

Aktuelle Version vom 20. Dezember 2024, 11:31 Uhr

MX Host 80.151.27.133


MX Host 2003:a:141b:8501:280:10ff:fe0f:876e

MTA-STS

DANE

DNSSEC

SSL

email-security-scans.org


E-Mail Antispam Maßnahmen und Echtheitsprüfung

Vorausgesetzt, dass der gegnerische E-Mailserver vernünftig konfiguriert wurde, werden nur E-Mails von unserem Relay zugestellt. Das bedeutet im Umkehrschluss, dass durch die Maßnahmen genauso der Ursprung der Mail festgestellt werden kann. Damit ist der versendende Accountbenutzer vollumfänglich für seine Nachrichten verantwortlich.

Alle Maßnahmen zielen darauf ab, uns selbst als legitimer E-Mail-Versender unserer Domains darzustellen und zeitgleich alle mittbräuchlichen "Domainverwender" ausfiltern zu lassen. Umgekehrt verwenden wir die selben Technologien um eingehende E-Mails auf Echtheit zu überprüfen.

...

DNS Zone - MX Record

Mail Exchange Resource 

<none>.lachcraft.cloud MX 10 smarthost.lachcraft.cloud.

Anschlusspunkt für unser Emailrelay - dieser MX Record ist für den gegenüberliegenden VERSENDENDEN Mailserver unerlässlich!

DNS Zone - A Record

smarthost.lachcraft.cloud A 0 80.151.27.133
smarthost.lachcraft.cloud AAAA 0 2003:a:141b:85f1:280:10ff:fe0f:876e

Hierauf löst der MX 10 Record auf. Dieser Record und diese IP Adressen sind die eigentlichen offiziellen Ein- und Austrittspunkte für alle E-Mails von allen unseren eigenen Domains

rDNS Adresse

WICHTIG! Der Mailserver selber (!) ist mit dem A-Record verbunden. Andere Domains welche sich auf Postfächer beziehen benötigen keinen rDNS. Die E-Mails werden stets mit der angebundenen Domain des Mailservers übermittelt. Der rDNS wird in alle dem Mailserver zulaufenden IPs eingetragen

DNS Zone - SPF Record

Sender Policy Framework 

<none>.lachcraft.cloud TXT 0 v=spf1 +mx -all

Legitimierung E-Mail Domain

Tag Wert Erklärung
v spf1 Protokollversion
n/a Standard IP in der DNS Zone ist berechtigt Mails zu versenden: <none> = nein, "+a" = ja
+mx n/a Dürfen eingetragene MX Records Mails versenden: <none> = nein, "+mx" = ja
+a <none> Dürfen zusätzliche A/AAAA Records Mails versenden: <none> = nein, "a:sub.domain.tld" = ja (mehrere Einträge jeweils einzeln mit a:...)
+mx <none> zusätzliche MX Records autorisieren: <none> = nein, "mx:sub.domain.tld" (mehrere Einträge jeweils einzeln mit mc:...)
+ip4 <none> zusätzliche IPv4 Adressen autorisieren: <none> = nein, "ip4:0.0.0.0" oder "ip4:0.0.0.0/0"
+ip6 <none> zusätzliche IPv6 Adressen autorisieren: <none> = nein, "ip6:0000:0000:0000:0000:0000:0000:0000:0000"
_all ~ Qualifikation, alle anderen: + = autorisieren, - = nicht autorisieren, ~ = akzeptiert aber markiert, ? = neutral, werden vorraussichtlich akzeptiert

Der SPF Record gibt dem EMPFANGENDEN Mailserver die Informationen mit, von welchen IP-Adressen wir unsere Mails versenden. Bei allen anderen IP-Adressen weisen wir den gegnerischen Host an diese E-Mails zu markieren. Fachlich werden dadurch gespoofte Mails erkenntlich gemacht.
Komplett verbieten ist mit Problemen verbunden, weil gelegentlich E-Mailserver die Mails zu einem anderen Mailserver weiter relayen und DORT dann den SPF prüfen, der dann fehl schlägt. Man muss überlegen, ob man - oder ~ benutzt.


SPF - Kein Mailversand

<none>.domain.tld TXT 0 v=spf1 -all exp=exp.spf.domain.tld
exp.spf.domain.tld TXT 0 For SPF test: No official mail server!

Hiermit wird dem gegnerischen Mailserver mitgeteilt, dass auf dieser Domain offiziell keine E-Mails versendet werden.

DNS Zone - DKIM Record

DomainKeys Identified Mail

DKIM KEY

dkim._domainkey.lachcraft.cloud TXT 0 v=DKIM1; h=sha1:sha256; k=rsa; s=email; t=s; n=signed_by_LachCraft_public_mail_relay; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuZMUnK/ay2YTYUuEdySWDmMz/WdzPHUl4IWMdmFXDl9y7dj7fAdLaCVzN5dK5084hqOuWy74AwramQCx1NOfWYuqEdUolkfE6/OytFH8+dJLzuya+3EaTcdAETgN+pWdHyRr1aVWLNJR83SH2m82pqNbw74JukSWi+wJpl9JtSbfykogIEzzvL07dGsmC/aGoHvi4Twwzck4i4MJ+e5QzdlKzHooPZFCv3IpBeD39OEnNOCHHQkKE4pCPEoB6KLFOahkhi0NthNe6qaLAqCCr2Ku5dQBw1Iw8vtOMicFnrEN63Sh8wq2sLv9/KABZVtOVskaEKxxKizskGmTOS3zMQIDAQAB
Tag Wert Erklärung
v DKIM1 Protokollangabe
h sha1:sha256 akzeptierte Algorhytmen: sha1, sha256
k rsa Schlüsseltyp: rsa, ed25519
n signed_by_LachCraft_public_mail_relay Kommentarfeld für Personen
p MII...QAB BASE64 public key
s email Aktivierte Servicetypen: email (mehr gibt es noch nicht)
t s Service-Modus: y = Testmodus, s = strikter Modus (Kontrolle muss durchgeführt werden)

Mit diesem DKIM Record werden die Emails VON unserem Relay aus alle E-Mails mit einem Schlüssel signiert. Der EMPFANGENDE Mailserver liest den Hash aus der E-Mail aus und vergleicht diesen mit dem Prüfschlüssel in dieser Domain. Wir geben die Information aus, dass nur exakte Übereinstimmungen angenommen werden sollen. Für gegnerische Administratoren gibt es einen Kommentar, damit bei Fehlersuchen der Record zuzuordnen ist.

DKIM - PUBLIC KEY

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuZMUnK/ay2YTYUuEdySWDmMz/WdzPHUl4IWMdmFXDl9y7dj7fAdLaCVzN5dK5084hqOuWy74AwramQCx1NOfWYuqEdUolkfE6/OytFH8+dJLzuya+3EaTcdAETgN+pWdHyRr1aVWLNJR83SH2m82pqNbw74JukSWi+wJpl9JtSbfykogIEzzvL07dGsmC/aGoHvi4Twwzck4i4MJ+e5QzdlKzHooPZFCv3IpBeD39OEnNOCHHQkKE4pCPEoB6KLFOahkhi0NthNe6qaLAqCCr2Ku5dQBw1Iw8vtOMicFnrEN63Sh8wq2sLv9/KABZVtOVskaEKxxKizskGmTOS3zMQIDAQAB


DNS Zone - DKIM SIGNATUR POLICY

_domainkey.lachcraft.cloud TXT 0 o=-
Tag Wert Erklärung
o= - Angabe ob alle E-Mails signiert werden: ~ = nicht alle, - = alle


DNS Zone - DMARC Record

Domain-based Message Authentication, Reporting and Conformance 

_dmarc.lachcraft.cloud TXT 0 v=DMARC1; p=quarantine; sp=quarantine; pct=100; rua=mailto:monitoring@lachcraft.cloud,mailto:re+twocuiw2d5p@dmarc.postmarkapp.com; ruf=mailto:monitoring@lachcraft.cloud; fo=0:1:d:s; adkim=s; aspf=s; rf=afrf; ri=86400
Tag Wert Erklärung
v DMARK1 Protokollversion. Bisher nur DMARC1 verfügbar
p strict Richtlinien: none=ignorieren, quarantine=markieren, strict=löschen
sp strict Richtlinien: none=ignorieren, quarantine=markieren, strict=löschen
pct 100 Richtlinie auf einen Prozentsatz der _fehlerhaften_ E-Mails anwenden
rua mailto:monitoring@lachcraft.cloud,mailto:re+twocuiw2d5p@dmarc.postmarkapp.com XML-Feedback der ISPs an diese Adresse senden
https://dmarc.postmarkapp.com/ Zusätzliche aufbereitete Auswertung von Postmarkapp. Report an monitoring@lachcraft.cloud
ruf mailto:monitoring@lachcraft.cloud Forensische Berichte der ISPs an diese Adresse senden.
fo 0:1:d:s Forensische Optionen: 0=DKIM and SPF failed, 1=DKIM or SPF failed, d=DKIM failed, s=SPF failed
adkim s Übereinstimmung der Signaturdomain: r=relaxed/entspannt, s=strict/streng
aspf s Übereinstimmung der Signaturdomain: r=relaxed/entspannt, s=strict/streng
rf afrf Berichtsformat: afrf oder iodef
ri 86400 Berichtsintervall

Der DMARC Record ist eine Anweisung an den empfangenden Mailserver wie er mit allen unseren Domains umgehen soll. Es steht bewusst nicht "alle unseren Mails" geschrieben, da auch oft genug Personen versuchen, den E-Mail Header zu fälschen. Trifft eine gefälschte E-Mail ein, so besagt die Anweisung was explizit zutreffen und und wie mit der Mail dann vorgegangen werden soll.

DMARC - Zusatzdomains

domain.tld._report._dmarc.lachcraft.cloud TXT 0 v=DMARC1

Reports unterschiedlicher Domains müssen an der E-Mail-Eigentümer-Domain validiert werden.

DNS Zone - ADSP Record

Author Domain Signing Practices 

_adsp._domainkey.lachcraft.cloud txt 0 dkim=discardable
Tag Wert Erklärung
dkim all unknown = nicht definiert, all = alle signiert, discardable = alle unsignierten Mails verwerfen

Gibt dem gegnerischen Server Anweisungen bezüglich der DKIM-Signatur.


DNS Zone - DNSWL

https://www.dnswl.org/ - Mail reputation – Protect against false positives 

_token._dnswl.lachcraft.cloud txt 0 64vk6tcqccqjtm79mfm09yx7kadlrbvi

Maßnahmen gegen false-positive Vorfälle beim gegnerischen Mailserver, Steigerung der Reputation


DNS Zone - MTA-STS

Maßnahmen gegen MITM-Attacken. Wir geben an, dass wir verschlüsselt übertragen wollen und welche Domain das darf. Dafür müssen authentifizierte Zertifikate vorliegen. Durch die festen Vorgaben können keine Zertifikate ausgetauscht werden.
Die Konfiguration ist für Kommunikation zwischen Mailservern relevant. 

mta-sts.lachcraft.cloud A 80.151.27.133

Zeigt auf den Webserver. Folgende URL muss auflösbar sein: mta-sts.ast-network.com/.well-known/mta-sts.txt

Inhalt der Datei: 

version: STSv1
mode: enforce
mx: smarthost.lachcraft.cloud
max_age: 2628000



_mta-sts.lachcraft.cloud txt v=STSv1; id=20241022

Angabe, dass MTA-STS verwendet wird. Die ID muss bei jeder Änderung der mta-sts.txt Datei verändert werden, damit der gegenüberliegende Server weiß, dass sich was änderte. 


_smtp._tls.lachcraft.cloud txt v=TLSRPTv1;rua=mailto:monitoring@lachcraft.cloud

Angabe, wohin Fehlerreports hingeschickt werden sollen

Abgerufen von „https://kb.lachcraft.cloud/index.php?title=Kb_mx_general&oldid=74