Kb mx general: Unterschied zwischen den Versionen

Aus LachCraft.cloud Knowledgebase
Zur Navigation springen Zur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 17: Zeile 17:


email-security-scans.org
email-security-scans.org
=E-Mail Antispam Maßnahmen und Echtheitsprüfung=
'''Vorausgesetzt, dass der gegnerische E-Mailserver vernünftig konfiguriert wurde, werden nur AST-E-Mails von unserem Relay zugestellt. Das bedeutet im Umkehrschluss, dass durch die Maßnahmen genauso der Ursprung der Mail festgestellt werden kann. Damit ist der versendende Accountbenutzer vollumfänglich für seine Nachrichten verantwortlich.'''
Alle Maßnahmen zielen darauf ab, uns selbst als legitimer E-Mail-Versender unserer Domains darzustellen und zeitgleich alle mittbräuchlichen "Domainverwender" ausfiltern zu lassen.
Umgekehrt verwenden wir die selben Technologien um eingehende E-Mails auf Echtheit zu überprüfen.
<div class="noprint">...</div>
==DNS Zone - MX Record==
Mail Exchange Resource
'''<none>.ast-kanister.de''' ''MX 10'' smarthost.ast-network.com.
Anschlusspunkt für unser Emailrelay - dieser MX Record ist für den gegenüberliegenden VERSENDENDEN Mailserver unerlässlich!
==DNS Zone - A Record==
'''smarthost.ast-network.com''' ''A 0'' 80.149.57.117
'''smarthost.ast-network.com''' ''A 0'' 93.241.222.26
Hierauf löst der MX 10 Record auf. Dieser Record und diese IP Adressen sind die eigentlichen offiziellen Ein- und Austrittspunkte für alle E-Mails von allen unseren eigenen Domains<br>
Diese Liste ist eine Round Robin - Technik, per "Zufall" wird immer eine der angegebenen IPs dem zu sendenden Server übergeben. Damit kann man eine Art Redundanz gewährleisten.
===rDNS Adresse===
'''WICHTIG!''' Der Mailserver selber (!) ist mit dem A-Record verbunden. Andere Domains welche sich auf Postfächer beziehen benötigen keinen rDNS. Die E-Mails werden stets mit der angebundenen Domain des Mailservers übermittelt. Der rDNS wird in alle dem Mailserver zulaufenden IPs eingetragen
==DNS Zone - SPF Record==
Sender Policy Framework
'''<none>.ast-kanister.de''' ''TXT 0'' v=spf1 +mx ~all
Legitimierung E-Mail Domain
{|
|'''Tag'''
|'''Wert'''
|'''Erklärung'''
|-
| v
| spf1
| Protokollversion
|-
|
| n/a
| Standard IP in der DNS Zone ist berechtigt Mails zu versenden: <none> = nein, "+a" = ja
|-
| +mx
| n/a
| Dürfen eingetragene MX Records Mails versenden: <none> = nein, "+mx" = ja
|-
| +a
| <none>
| Dürfen zusätzliche A/AAAA Records Mails versenden: <none> = nein, "a:sub.domain.tld" = ja (mehrere Einträge jeweils einzeln mit a:...)
|-
| +mx
| <none>
| zusätzliche MX Records autorisieren: <none> = nein, "mx:sub.domain.tld" (mehrere Einträge jeweils einzeln mit mc:...)
|-
| +ip4
| <none>
| zusätzliche IPv4 Adressen autorisieren: <none> = nein, "ip4:0.0.0.0" oder "ip4:0.0.0.0/0"
|-
| +ip6
| <none>
| zusätzliche IPv6 Adressen autorisieren: <none> = nein, "ip6:0000:0000:0000:0000:0000:0000:0000:0000"
|-
| _all
| ~
| Qualifikation, alle anderen: + = autorisieren, - = nicht autorisieren, ~ = akzeptiert aber markiert, ? = neutral, werden vorraussichtlich akzeptiert
|}
Der SPF Record gibt dem EMPFANGENDEN Mailserver die Informationen mit, von welchen IP-Adressen wir unsere Mails versenden. Bei allen anderen IP-Adressen weisen wir den gegnerischen Host an diese E-Mails zu markieren. Fachlich werden dadurch gespoofte Mails erkenntlich gemacht.<br>
Komplett verbieten ist mit Problemen verbunden, weil gelegentlich E-Mailserver die Mails zu einem anderen Mailserver weiterleiten und dadurch die prüfbaren Daten verfälschen. Darum ist der Einsatz von '''~all''' leider empfehlenswert.
===SPF - Kein Mailversand===
<none>.ast-cans.de TXT 0 v=spf1 -all exp=exp.spf.ast-cans.de
exp.spf.ast-cans.de TXT 0 For SPF test: No official mail server!
Hiermit wird dem gegnerischen Mailserver mitgeteilt, dass auf dieser Domain offiziell keine E-Mails versendet werden.
==DNS Zone - DKIM Record==
DomainKeys Identified Mail
==DKIM KEY==
'''utm._domainkey.ast-kanister.de''' ''TXT 0'' v=DKIM1; h=sha1:sha256; k=rsa; s=email; t=s; n=signed_by_AST_public_mail_relay; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuMFBM4m0S37cfvzsSCW9pBuOjPZT620aRYdaKDxg1svaLqEbr1pQ3C4JADiUzJeQhJBn+rjZHZ0OTBrRbqzoAS8UnpWoTG310QjS4cBK7SZOHxrgC5+Hb/YtU4CpNOcG4QtZe/6h8oDrYbIPqMKPDJLpfvgJp9xY9Dr8IHgpQ/0SfKbq6MbzOUTQV9f9fGiWYRH5C7j6Wt+eXwOVtzZoBJD6in1gcJEQ54rpBiAcZJQ0L/85k4jPZqXbHe+SkVdwe+laXhiUkl0Ys4twGz4GFeyewXMX69rpr6cOa2T7sOoZ3Z3G0eFHlVwr6g5VZQqHsp9OQ9qvgbkxaiNNFxTGcwIDAQAB
{|
|'''Tag'''
|'''Wert'''
|'''Erklärung'''
|-
|v
|DKIM1
|Protokollangabe
|-
|h
|sha1:sha256
|akzeptierte Algorhytmen: sha1, sha256
|-
|k
|rsa
|Schlüsseltyp: rsa, ed25519
|-
|n
|signed_by_AST_public_mail_relay
|Kommentarfeld für Personen
|-
|p
|MII...QAB
|BASE64 public key
|-
|s
|email
|Aktivierte Servicetypen: email (mehr gibt es noch nicht)
|-
|t
|s
|Service-Modus: y = Testmodus, s = strikter Modus (Kontrolle muss durchgeführt werden)
|}
Mit diesem DKIM Record werden die Emails VON unserem Relay aus alle E-Mails mit einem Schlüssel signiert. Der EMPFANGENDE Mailserver liest den Hash aus der E-Mail aus und vergleicht diesen mit dem Prüfschlüssel in dieser Domain. Wir geben die Information aus, dass nur exakte Übereinstimmungen angenommen werden sollen. Für gegnerische Administratoren gibt es einen Kommentar, damit bei Fehlersuchen der Record zuzuordnen ist.
===DKIM - PRIVATE KEY===
<div class="noprint">
-----BEGIN RSA PRIVATE KEY-----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<QYI=
-----END RSA PRIVATE KEY-----
</div>
===DKIM - PUBLIC KEY===
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuMFBM4m0S37cfvzsSCW9pBuOjPZT620aRYdaKDxg1svaLqEbr1pQ3C4JADiUzJeQhJBn+rjZHZ0OTBrRbqzoAS8UnpWoTG310QjS4cBK7SZOHxrgC5+Hb/YtU4CpNOcG4QtZe/6h8oDrYbIPqMKPDJLpfvgJp9xY9Dr8IHgpQ/0SfKbq6MbzOUTQV9f9fGiWYRH5C7j6Wt+eXwOVtzZoBJD6in1gcJEQ54rpBiAcZJQ0L/85k4jPZqXbHe+SkVdwe+laXhiUkl0Ys4twGz4GFeyewXMX69rpr6cOa2T7sOoZ3Z3G0eFHlVwr6g5VZQqHsp9OQ9qvgbkxaiNNFxTGcwIDAQAB
==DNS Zone - DKIM SIGNATUR POLICY==
'''_domainkey.ast-kanister.de''' ''TXT 0'' o=-
{|
| Tag
| Wert
| Erklärung
|-
| o=
| -
| Angabe ob alle E-Mails signiert werden: ~ = nicht alle, - = alle
|}
==DNS Zone - DMARC Record==
Domain-based Message Authentication, Reporting and Conformance
'''_dmarc.ast-kanister.de''' ''TXT 0'' v=DMARC1; p=strict; sp=strict; pct=100; rua=mailto:dmarc-report@ast-kanister.de,mailto:re+ybatcvmmnph@dmarc.postmarkapp.com; ruf=mailto:dmarc-report@ast-kanister.de; fo=0:1:d:s; adkim=s; aspf=s; rf=afrf; ri=86400
{|
|'''Tag'''
|'''Wert'''
|'''Erklärung'''
|-
|v
|DMARK1
|Protokollversion. Bisher nur DMARC1 verfügbar
|-
|p
|strict
|Richtlinien: none=ignorieren, quarantine=markieren, strict=löschen
|-
|sp
|strict
|Richtlinien: none=ignorieren, quarantine=markieren, strict=löschen
|-
|pct
|100
|Richtlinie auf einen Prozentsatz der _fehlerhaften_ E-Mails anwenden
|-
|rua
|mailto:dmarc-report@ast-kanister.de,re+ybatcvmmnph@dmarc.postmarkapp.com
|XML-Feedback der ISPs an diese Adresse senden<br>https://dmarc.postmarkapp.com/ Zusätzliche aufbereitete Auswertung von Postmarkapp. Report an it@ast-kanister.de
|-
|ruf
|mailto:dmarc-report@ast-kanister.de
|Forensische Berichte der ISPs an diese Adresse senden.
|-
|fo
|0:1:d:s
|Forensische Optionen: 0=DKIM and SPF failed, 1=DKIM or SPF failed, d=DKIM failed, s=SPF failed
|-
|adkim
|s
|Übereinstimmung der Signaturdomain: r=relaxed/entspannt, s=strict/streng
|-
|aspf
|s
|Übereinstimmung der Signaturdomain: r=relaxed/entspannt, s=strict/streng
|-
|rf
|afrf
|Berichtsformat: afrf oder iodef
|-
|ri
|86400
|Berichtsintervall
|}
Der DMARC Record ist eine Anweisung an den empfangenden Mailserver wie er mit allen unseren Domains umgehen soll. Es steht bewusst nicht "alle unseren Mails" geschrieben, da auch oft genug Personen versuchen, den E-Mail Header zu fälschen. Trifft eine gefälschte E-Mail ein, so besagt die Anweisung was explizit zutreffen und und wie mit der Mail dann vorgegangen werden soll.
===DMARC - Zusatzdomains===
'''ast-benelux.be._report._dmarc.ast-kanister.de''' ''TXT 0'' v=DMARC1
Reports unterschiedlicher Domains (it@ast-kanister.de E-Mail unter ast-benelux.be Domain) müssen an der E-Mail-Eigentümer-Domain validiert werden.
==DNS Zone - ADSP Record==
Author Domain Signing Practices
'''_adsp._domainkey.ast-kanister.de''' ''txt 0'' dkim=discardable
{|
|'''Tag'''
|'''Wert'''
|'''Erklärung'''
|-
| dkim
| all
| unknown = nicht definiert, all = alle signiert, discardable = alle unsignierten Mails verwerfen
|}
Gibt dem gegnerischen Server Anweisungen bezüglich der DKIM-Signatur.
==DNS Zone - DNSWL==
https://www.dnswl.org/ - Mail reputation – Protect against false positives
'''_token._dnswl.ast-kanister.de''' ''txt'' 0 oh34ba2d9ukv42e9w7pcqea9wz4xwlpk
Maßnahmen gegen false-positive Vorfälle beim gegnerischen Mailserver, Steigerung der Reputation
==DNS Zone - MTA-STS==
Maßnahmen gegen MITM-Attacken.
Wir geben an, dass wir verschlüsselt übertragen wollen und welche Domain das darf. Dafür müssen authentifizierte Zertifikate vorliegen. Durch die festen Vorgaben können keine Zertifikate ausgetauscht werden.<br>
'''Die Konfiguration ist für Kommunikation zwischen Mailservern relevant.'''
'''mta-sts.ast-network.com''' CNAME ''hq-isp1-port3.ast-network.com.''
Zeigt auf den Webserver. Folgende URL muss auflösbar sein: mta-sts.ast-network.com/.well-known/mta-sts.txt
Inhalt der Datei:
version: STSv1
mode: enforce
mx: smarthost.ast-network.com
max_age: 2628000
'''_mta-sts.ast-network.com''' txt ''v=STSv1; id=r202007090911v5''
Angabe, dass MTA-STS verwendet wird. Die ID muss bei jeder Änderung der mta-sts.txt Datei verändert werden, damit der gegenüberliegende Server weiß, dass sich was änderte.
'''_smtp._tls.ast-network.com''' txt ''v=TLSRPTv1;rua=mailto:reports@ast-network.com''
Angabe, wohin Fehlerreports hingeschickt werden sollen
=Der Weg einer E-Mail=
==Mitarbeiter versendet eine Mail==
(bearbeiten)
# Microsoft Outlook 2016 --> Microsoft Exchange 2019
# Microsoft Exchange --> Sophos UTM Mailserver
## Mail wird auf verschiedene Probleme hin geprüft
## Mail wird mit DKIM signiert
# Sophos UTM Mailserver löst die DNS auf
# Sophos UTM Mailserver versucht sich mit der erhaltenen IP-Adresse zu verbinden
# Sophos UTM Mailserver --> Fremder Mailserver
## Fremder Mailserver überprüft ob er für die Domain zuständig ist und ob das Postfach existiert
## Fremder Mailserver fragt die SPF Daten ab
## Fremder Mailserver fragt die DKIM Daten ab und vergleicht diese mit der Signatur
## Fremder Mailserver übernimmt die weitere Verarbeitung
# Sophos UTM Mailserver erhält eine Quittung mit entsprechenden Ergebnissen
==Mitarbeiter empfängt eine Mail==
# Externer Mail-Server --- suche @ast-kanister.de --> AST DNS Server
# Externer Mail-Server <-- MX mail.ast-network.net --- AST DNS Server
# Externer Mail-Server --- suche mail.ast-network.net --> AST DNS Server
# Externer Mail-Server <-- 80.149.57.117 --- AST DNS Server
# Externer Mail-Server --- connect 80.149.57.117 --> öffentlicher AST Mail-Server
# Externer Mail-Server --- externe Verbindung 0.0.0.0 --- öffentlicher AST Mail-Server
# Externer Mail-Server --- HELO sub.domain.tld --> öffentlicher AST Mail-Server
# Externer DNS-Server <-- DNS sub.domain.tld --- Öffentlicher AST Mail-Server
# Externer DNS-Server --- IP: 0.0.0.0 --> Öffentlicher AST Mail-Server
# Externer IP ISP <-- prüfe auf rDNS Record --- öffentlicher AST Mail-Server
# Externer IP ISP --- rDNS: mail.domain.tld ---> öffentlicher AST Mail-Server
# Externer DNS-Server <-- prüfe auf SPF Record --- öffentlicher AST Mail-Server
# Externer DNS-Server --- SPF: v=spf1 +mx=mail.domain.tld -all ---> öffentlicher AST Mail-Server
# Externer DNS-Server <-- prüfe auf DKIM Record --- öffentlicher AST Mail-Server
# Externer DNS-Server --- DKIM: RSA Schlüssel ---> öffentlicher AST Mail-Server
# Externer DNS-Server <-- ADSP Anweisung wird abgeholt --- öffentlicher AST-Mailserver
# Externer DNS-Server --- ADSP Anweisung wird abgegeben --> öffentlicher AST-Mailserver
# Externer DNS-Server <-- prüfe auf DMARC Record --- öffentlicher AST Mail-Server
# Externer DNS-Server --- DMARC: Anweisungen ---> öffentlicher AST Mail-Server
# Öffentlicher AST Mailserver --- name.vorname@ abgleichen --> interner AST Benutzerkonten-Server
# Externer Mail-Server --- E-Mail Übertragung wird abgeschlossen --> öffentlicher AST Mail-Server
# öffentlicher AST Mail-Server prüft den E-Mailinhalt auf unerwünschte und schädliche Inhalte
# öffentlicher AST Mail-Server --> Email --> interner AST Mail-Server
# interner Mail-Server --- E-Mail --> Client / Outlook
==AST Adresse wird für Spam missbraucht==
(bearbeiten)
# Fremder Mailserver erhält eine Mail angeblich von AST
# Fremder Mailserver fragt unseren DNS Server nach den berechtigten IP Adressen
# Fremder Mailserver fragt unseren DNS Server nach der Signatur
# Fremder Mailserver prüft die Mail mit den Daten gegen
# Fremder Mailserber fragt unseren DNS Server nach den Handhabungsanweisungen
# Unser DNS Server gibt dem fremden Mailserver die Aufgabe die Mail zu vernichten
== Exchange 2019 ==
---NED UPDATES---
# Exchange > ECP > mail flow > accepted domains
# Exchange > ECP > recipients > [User] > email address
# UTM > Web Protection > Filter Actions > [WhateverProfile] > insert Domains (against Proxy CA faults)
# UTM > Email Protection > Routing > Domains
# UTM > Email Protection > Advanced > DKIM Domains
# Update DNS ZONE File
=Layout=
              INTRANET AST                |        INTERNET        |              INTRANET SOMEBODY
                                            |                        |
########################################  |                        |  ########################################
#                                      #  |                        |  #                                      #
#    AST public Mailrelay              ####|########################|####          external mailhost          #
#                                      #  |          #            |  #                                      #
########################################  |          #            |  ########################################
                    #                      |          #            |
                    #                      |      ###########      |
                    #                      |      # DNSHOST #      |
                    #                      |      ###########      |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
########################################  |                        |
#                                      #  |                        |
#            AST Exchange              #  |                        |
#                                      #  |                        |
########################################  |                        |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
                    #                      |                        |
########################################  |                        |
#                                      #  |                        |
#        AST Client Outlook            #  |                        |
#                                      #  |                        |
########################################  |                        |
                                            |                        |
                                            |                        |

Version vom 20. Dezember 2024, 09:39 Uhr

MX Host 80.151.27.133


MX Host 2003:a:141b:8501:280:10ff:fe0f:876e

MTA-STS

DANE

DNSSEC

SSL

email-security-scans.org


E-Mail Antispam Maßnahmen und Echtheitsprüfung

Vorausgesetzt, dass der gegnerische E-Mailserver vernünftig konfiguriert wurde, werden nur AST-E-Mails von unserem Relay zugestellt. Das bedeutet im Umkehrschluss, dass durch die Maßnahmen genauso der Ursprung der Mail festgestellt werden kann. Damit ist der versendende Accountbenutzer vollumfänglich für seine Nachrichten verantwortlich.

Alle Maßnahmen zielen darauf ab, uns selbst als legitimer E-Mail-Versender unserer Domains darzustellen und zeitgleich alle mittbräuchlichen "Domainverwender" ausfiltern zu lassen. Umgekehrt verwenden wir die selben Technologien um eingehende E-Mails auf Echtheit zu überprüfen.

...

DNS Zone - MX Record

Mail Exchange Resource 

<none>.ast-kanister.de MX 10 smarthost.ast-network.com.

Anschlusspunkt für unser Emailrelay - dieser MX Record ist für den gegenüberliegenden VERSENDENDEN Mailserver unerlässlich!

DNS Zone - A Record

smarthost.ast-network.com A 0 80.149.57.117
smarthost.ast-network.com A 0 93.241.222.26

Hierauf löst der MX 10 Record auf. Dieser Record und diese IP Adressen sind die eigentlichen offiziellen Ein- und Austrittspunkte für alle E-Mails von allen unseren eigenen Domains
Diese Liste ist eine Round Robin - Technik, per "Zufall" wird immer eine der angegebenen IPs dem zu sendenden Server übergeben. Damit kann man eine Art Redundanz gewährleisten.

rDNS Adresse

WICHTIG! Der Mailserver selber (!) ist mit dem A-Record verbunden. Andere Domains welche sich auf Postfächer beziehen benötigen keinen rDNS. Die E-Mails werden stets mit der angebundenen Domain des Mailservers übermittelt. Der rDNS wird in alle dem Mailserver zulaufenden IPs eingetragen

DNS Zone - SPF Record

Sender Policy Framework 

<none>.ast-kanister.de TXT 0 v=spf1 +mx ~all

Legitimierung E-Mail Domain

Tag Wert Erklärung
v spf1 Protokollversion
n/a Standard IP in der DNS Zone ist berechtigt Mails zu versenden: <none> = nein, "+a" = ja
+mx n/a Dürfen eingetragene MX Records Mails versenden: <none> = nein, "+mx" = ja
+a <none> Dürfen zusätzliche A/AAAA Records Mails versenden: <none> = nein, "a:sub.domain.tld" = ja (mehrere Einträge jeweils einzeln mit a:...)
+mx <none> zusätzliche MX Records autorisieren: <none> = nein, "mx:sub.domain.tld" (mehrere Einträge jeweils einzeln mit mc:...)
+ip4 <none> zusätzliche IPv4 Adressen autorisieren: <none> = nein, "ip4:0.0.0.0" oder "ip4:0.0.0.0/0"
+ip6 <none> zusätzliche IPv6 Adressen autorisieren: <none> = nein, "ip6:0000:0000:0000:0000:0000:0000:0000:0000"
_all ~ Qualifikation, alle anderen: + = autorisieren, - = nicht autorisieren, ~ = akzeptiert aber markiert, ? = neutral, werden vorraussichtlich akzeptiert

Der SPF Record gibt dem EMPFANGENDEN Mailserver die Informationen mit, von welchen IP-Adressen wir unsere Mails versenden. Bei allen anderen IP-Adressen weisen wir den gegnerischen Host an diese E-Mails zu markieren. Fachlich werden dadurch gespoofte Mails erkenntlich gemacht.
Komplett verbieten ist mit Problemen verbunden, weil gelegentlich E-Mailserver die Mails zu einem anderen Mailserver weiterleiten und dadurch die prüfbaren Daten verfälschen. Darum ist der Einsatz von ~all leider empfehlenswert.


SPF - Kein Mailversand

<none>.ast-cans.de TXT 0 v=spf1 -all exp=exp.spf.ast-cans.de
exp.spf.ast-cans.de TXT 0 For SPF test: No official mail server!

Hiermit wird dem gegnerischen Mailserver mitgeteilt, dass auf dieser Domain offiziell keine E-Mails versendet werden.

DNS Zone - DKIM Record

DomainKeys Identified Mail

DKIM KEY

utm._domainkey.ast-kanister.de TXT 0 v=DKIM1; h=sha1:sha256; k=rsa; s=email; t=s; n=signed_by_AST_public_mail_relay; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuMFBM4m0S37cfvzsSCW9pBuOjPZT620aRYdaKDxg1svaLqEbr1pQ3C4JADiUzJeQhJBn+rjZHZ0OTBrRbqzoAS8UnpWoTG310QjS4cBK7SZOHxrgC5+Hb/YtU4CpNOcG4QtZe/6h8oDrYbIPqMKPDJLpfvgJp9xY9Dr8IHgpQ/0SfKbq6MbzOUTQV9f9fGiWYRH5C7j6Wt+eXwOVtzZoBJD6in1gcJEQ54rpBiAcZJQ0L/85k4jPZqXbHe+SkVdwe+laXhiUkl0Ys4twGz4GFeyewXMX69rpr6cOa2T7sOoZ3Z3G0eFHlVwr6g5VZQqHsp9OQ9qvgbkxaiNNFxTGcwIDAQAB
Tag Wert Erklärung
v DKIM1 Protokollangabe
h sha1:sha256 akzeptierte Algorhytmen: sha1, sha256
k rsa Schlüsseltyp: rsa, ed25519
n signed_by_AST_public_mail_relay Kommentarfeld für Personen
p MII...QAB BASE64 public key
s email Aktivierte Servicetypen: email (mehr gibt es noch nicht)
t s Service-Modus: y = Testmodus, s = strikter Modus (Kontrolle muss durchgeführt werden)

Mit diesem DKIM Record werden die Emails VON unserem Relay aus alle E-Mails mit einem Schlüssel signiert. Der EMPFANGENDE Mailserver liest den Hash aus der E-Mail aus und vergleicht diesen mit dem Prüfschlüssel in dieser Domain. Wir geben die Information aus, dass nur exakte Übereinstimmungen angenommen werden sollen. Für gegnerische Administratoren gibt es einen Kommentar, damit bei Fehlersuchen der Record zuzuordnen ist.


DKIM - PRIVATE KEY

-----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEAuMFBM4m0S37cfvzsSCW9pBuOjPZT620aRYdaKDxg1svaLqEb
r1pQ3C4JADiUzJeQhJBn+rjZHZ0OTBrRbqzoAS8UnpWoTG310QjS4cBK7SZOHxrg
C5+Hb/YtU4CpNOcG4QtZe/6h8oDrYbIPqMKPDJLpfvgJp9xY9Dr8IHgpQ/0SfKbq
6MbzOUTQV9f9fGiWYRH5C7j6Wt+eXwOVtzZoBJD6in1gcJEQ54rpBiAcZJQ0L/85
k4jPZqXbHe+SkVdwe+laXhiUkl0Ys4twGz4GFeyewXMX69rpr6cOa2T7sOoZ3Z3G
0eFHlVwr6g5VZQqHsp9OQ9qvgbkxaiNNFxTGcwIDAQABAoIBAAcInHHY2TtSjhRr
jpdEkI6x2eB19EXvNmPVPlJv0gP7aMgDrCkl2BQ50G/ot4l+b6sMUFkUNnfRJd0x
3C1Jed+pqjBLZEfcm9IkctrTVkbnAWxfuo3WufJCPgGC0W5JKVLh+rsku4ee7tce
T0hOd+Gzqh4CVWPFmMFbiYO272M+K6lYDYY3fYqzuLTK8MzqVMD0kUipwiRr62Q3
v7R5DCuJ/GNGfFij2fCVBogsSW9RtxixRzFodZDQrBzzy3AYXxBr66n0OjcYlvR/
5Qwk/qxsTC18XWY+m1VGJsLZiQWgo8zmFGt8eaaYMTGg02GCX/QTk7FnUKcUZ33J
UHTI8KkCgYEA3OOvvLHhe0IvUD/IX2uC1/2XbOo8iw4BlcLVHXl9tWBbx//zbou6
uo1/opp+CCAxN7MQwkqoGljDgZtPtvRFK2zK1go8yaDJ/ooTdHNQGPPgFAcoAw6c
+wkG2iUsaocg7Yr7XlZnNs1Ig1U5fciUS/7ZiDdGQd5bVk2bhU3gBoUCgYEA1h8z
1W7q1DAAu3MbqfulCKU3Nr1WzHKEYDiJl07HgnWb6aone5PCRRHQQ/ADLxZndVCr
lEBlr7DL/TQ+V8b0MKlwYxiqoKMaBdZFcfSse5vYJs/9a8+YRKVyipCuk4GmjSB5
Bon0daKkWoRpnmz7DzpWD2nzIIqHw0mYEdtTlpcCgYBlQwvhWTqhIupFw7e75rGJ
CvxMNeWjabxYR4UjifqTF6V7vl5+oxfrRcrpZCG63+cwParFJyyBR4f49pZIrRq4
mZszHGZZmJiBVBMvI13o0oQ7KjyxihV1D+JQRxJhk6kIvNoXmUyf1uQTMRK2EynI
3QAkbhKLR8BfhBxztAurcQKBgHjWSRFFND8lC/S9ZDpMqnkzi/JXbfmZEv2eSn/a
VJtaNe/rN7b0zyjdgbQlahaTxTUenoXexcQduTEe36P3wm0H4kX6cKiRAymSH8TM
uN5VN+nHbRP/psXuvLJYLj1OaKiyT7qR9iTA8ZGnsldW12Rjnpe6ShvuMenSyYAi
T4znAoGAV5+YEs/PU8FHntXloV+Wrtpb3HruCoLrb6VClJzb77EEsK//5HdEnW+f
4lTkhbD9UUUkOqN1dhfMdDRduexkfdoOJ4WTPkEmc+q0CHWKfJfviU5OY5GFCLqb
WzSnrTzb8GJD0mb0IrMHtB3iudVJ+PXRmxxhwltqY7+M5s/a<QYI=
-----END RSA PRIVATE KEY-----


DKIM - PUBLIC KEY

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuMFBM4m0S37cfvzsSCW9pBuOjPZT620aRYdaKDxg1svaLqEbr1pQ3C4JADiUzJeQhJBn+rjZHZ0OTBrRbqzoAS8UnpWoTG310QjS4cBK7SZOHxrgC5+Hb/YtU4CpNOcG4QtZe/6h8oDrYbIPqMKPDJLpfvgJp9xY9Dr8IHgpQ/0SfKbq6MbzOUTQV9f9fGiWYRH5C7j6Wt+eXwOVtzZoBJD6in1gcJEQ54rpBiAcZJQ0L/85k4jPZqXbHe+SkVdwe+laXhiUkl0Ys4twGz4GFeyewXMX69rpr6cOa2T7sOoZ3Z3G0eFHlVwr6g5VZQqHsp9OQ9qvgbkxaiNNFxTGcwIDAQAB


DNS Zone - DKIM SIGNATUR POLICY

_domainkey.ast-kanister.de TXT 0 o=-
Tag Wert Erklärung
o= - Angabe ob alle E-Mails signiert werden: ~ = nicht alle, - = alle


DNS Zone - DMARC Record

Domain-based Message Authentication, Reporting and Conformance 

_dmarc.ast-kanister.de TXT 0 v=DMARC1; p=strict; sp=strict; pct=100; rua=mailto:dmarc-report@ast-kanister.de,mailto:re+ybatcvmmnph@dmarc.postmarkapp.com; ruf=mailto:dmarc-report@ast-kanister.de; fo=0:1:d:s; adkim=s; aspf=s; rf=afrf; ri=86400
Tag Wert Erklärung
v DMARK1 Protokollversion. Bisher nur DMARC1 verfügbar
p strict Richtlinien: none=ignorieren, quarantine=markieren, strict=löschen
sp strict Richtlinien: none=ignorieren, quarantine=markieren, strict=löschen
pct 100 Richtlinie auf einen Prozentsatz der _fehlerhaften_ E-Mails anwenden
rua mailto:dmarc-report@ast-kanister.de,re+ybatcvmmnph@dmarc.postmarkapp.com XML-Feedback der ISPs an diese Adresse senden
https://dmarc.postmarkapp.com/ Zusätzliche aufbereitete Auswertung von Postmarkapp. Report an it@ast-kanister.de
ruf mailto:dmarc-report@ast-kanister.de Forensische Berichte der ISPs an diese Adresse senden.
fo 0:1:d:s Forensische Optionen: 0=DKIM and SPF failed, 1=DKIM or SPF failed, d=DKIM failed, s=SPF failed
adkim s Übereinstimmung der Signaturdomain: r=relaxed/entspannt, s=strict/streng
aspf s Übereinstimmung der Signaturdomain: r=relaxed/entspannt, s=strict/streng
rf afrf Berichtsformat: afrf oder iodef
ri 86400 Berichtsintervall

Der DMARC Record ist eine Anweisung an den empfangenden Mailserver wie er mit allen unseren Domains umgehen soll. Es steht bewusst nicht "alle unseren Mails" geschrieben, da auch oft genug Personen versuchen, den E-Mail Header zu fälschen. Trifft eine gefälschte E-Mail ein, so besagt die Anweisung was explizit zutreffen und und wie mit der Mail dann vorgegangen werden soll.

DMARC - Zusatzdomains

ast-benelux.be._report._dmarc.ast-kanister.de TXT 0 v=DMARC1

Reports unterschiedlicher Domains (it@ast-kanister.de E-Mail unter ast-benelux.be Domain) müssen an der E-Mail-Eigentümer-Domain validiert werden.

DNS Zone - ADSP Record

Author Domain Signing Practices 

_adsp._domainkey.ast-kanister.de txt 0 dkim=discardable
Tag Wert Erklärung
dkim all unknown = nicht definiert, all = alle signiert, discardable = alle unsignierten Mails verwerfen

Gibt dem gegnerischen Server Anweisungen bezüglich der DKIM-Signatur.


DNS Zone - DNSWL

https://www.dnswl.org/ - Mail reputation – Protect against false positives 

_token._dnswl.ast-kanister.de txt 0 oh34ba2d9ukv42e9w7pcqea9wz4xwlpk

Maßnahmen gegen false-positive Vorfälle beim gegnerischen Mailserver, Steigerung der Reputation


DNS Zone - MTA-STS

Maßnahmen gegen MITM-Attacken. Wir geben an, dass wir verschlüsselt übertragen wollen und welche Domain das darf. Dafür müssen authentifizierte Zertifikate vorliegen. Durch die festen Vorgaben können keine Zertifikate ausgetauscht werden.
Die Konfiguration ist für Kommunikation zwischen Mailservern relevant. 

mta-sts.ast-network.com CNAME hq-isp1-port3.ast-network.com.

Zeigt auf den Webserver. Folgende URL muss auflösbar sein: mta-sts.ast-network.com/.well-known/mta-sts.txt

Inhalt der Datei: 

version: STSv1
mode: enforce
mx: smarthost.ast-network.com
max_age: 2628000



_mta-sts.ast-network.com txt v=STSv1; id=r202007090911v5

Angabe, dass MTA-STS verwendet wird. Die ID muss bei jeder Änderung der mta-sts.txt Datei verändert werden, damit der gegenüberliegende Server weiß, dass sich was änderte. 


_smtp._tls.ast-network.com txt v=TLSRPTv1;rua=mailto:reports@ast-network.com

Angabe, wohin Fehlerreports hingeschickt werden sollen

Der Weg einer E-Mail

Mitarbeiter versendet eine Mail

(bearbeiten)

  1. Microsoft Outlook 2016 --> Microsoft Exchange 2019
  2. Microsoft Exchange --> Sophos UTM Mailserver
    1. Mail wird auf verschiedene Probleme hin geprüft
    2. Mail wird mit DKIM signiert
  3. Sophos UTM Mailserver löst die DNS auf
  4. Sophos UTM Mailserver versucht sich mit der erhaltenen IP-Adresse zu verbinden
  5. Sophos UTM Mailserver --> Fremder Mailserver
    1. Fremder Mailserver überprüft ob er für die Domain zuständig ist und ob das Postfach existiert
    2. Fremder Mailserver fragt die SPF Daten ab
    3. Fremder Mailserver fragt die DKIM Daten ab und vergleicht diese mit der Signatur
    4. Fremder Mailserver übernimmt die weitere Verarbeitung
  6. Sophos UTM Mailserver erhält eine Quittung mit entsprechenden Ergebnissen

Mitarbeiter empfängt eine Mail

  1. Externer Mail-Server --- suche @ast-kanister.de --> AST DNS Server
  2. Externer Mail-Server <-- MX mail.ast-network.net --- AST DNS Server
  3. Externer Mail-Server --- suche mail.ast-network.net --> AST DNS Server
  4. Externer Mail-Server <-- 80.149.57.117 --- AST DNS Server
  5. Externer Mail-Server --- connect 80.149.57.117 --> öffentlicher AST Mail-Server
  6. Externer Mail-Server --- externe Verbindung 0.0.0.0 --- öffentlicher AST Mail-Server
  7. Externer Mail-Server --- HELO sub.domain.tld --> öffentlicher AST Mail-Server
  8. Externer DNS-Server <-- DNS sub.domain.tld --- Öffentlicher AST Mail-Server
  9. Externer DNS-Server --- IP: 0.0.0.0 --> Öffentlicher AST Mail-Server
  10. Externer IP ISP <-- prüfe auf rDNS Record --- öffentlicher AST Mail-Server
  11. Externer IP ISP --- rDNS: mail.domain.tld ---> öffentlicher AST Mail-Server
  12. Externer DNS-Server <-- prüfe auf SPF Record --- öffentlicher AST Mail-Server
  13. Externer DNS-Server --- SPF: v=spf1 +mx=mail.domain.tld -all ---> öffentlicher AST Mail-Server
  14. Externer DNS-Server <-- prüfe auf DKIM Record --- öffentlicher AST Mail-Server
  15. Externer DNS-Server --- DKIM: RSA Schlüssel ---> öffentlicher AST Mail-Server
  16. Externer DNS-Server <-- ADSP Anweisung wird abgeholt --- öffentlicher AST-Mailserver
  17. Externer DNS-Server --- ADSP Anweisung wird abgegeben --> öffentlicher AST-Mailserver
  18. Externer DNS-Server <-- prüfe auf DMARC Record --- öffentlicher AST Mail-Server
  19. Externer DNS-Server --- DMARC: Anweisungen ---> öffentlicher AST Mail-Server
  20. Öffentlicher AST Mailserver --- name.vorname@ abgleichen --> interner AST Benutzerkonten-Server
  21. Externer Mail-Server --- E-Mail Übertragung wird abgeschlossen --> öffentlicher AST Mail-Server
  22. öffentlicher AST Mail-Server prüft den E-Mailinhalt auf unerwünschte und schädliche Inhalte
  23. öffentlicher AST Mail-Server --> Email --> interner AST Mail-Server
  24. interner Mail-Server --- E-Mail --> Client / Outlook

AST Adresse wird für Spam missbraucht

(bearbeiten)

  1. Fremder Mailserver erhält eine Mail angeblich von AST
  2. Fremder Mailserver fragt unseren DNS Server nach den berechtigten IP Adressen
  3. Fremder Mailserver fragt unseren DNS Server nach der Signatur
  4. Fremder Mailserver prüft die Mail mit den Daten gegen
  5. Fremder Mailserber fragt unseren DNS Server nach den Handhabungsanweisungen
  6. Unser DNS Server gibt dem fremden Mailserver die Aufgabe die Mail zu vernichten


Exchange 2019

---NED UPDATES---

  1. Exchange > ECP > mail flow > accepted domains
  2. Exchange > ECP > recipients > [User] > email address
  3. UTM > Web Protection > Filter Actions > [WhateverProfile] > insert Domains (against Proxy CA faults)
  4. UTM > Email Protection > Routing > Domains
  5. UTM > Email Protection > Advanced > DKIM Domains
  6. Update DNS ZONE File

Layout

              INTRANET AST                 |        INTERNET        |              INTRANET SOMEBODY
                                           |                        |
########################################   |                        |   ########################################
#                                      #   |                        |   #                                      #
#    AST public Mailrelay              ####|########################|####          external mailhost           #
#                                      #   |           #            |   #                                      #
########################################   |           #            |   ########################################
                   #                       |           #            |
                   #                       |      ###########       |
                   #                       |      # DNSHOST #       |
                   #                       |      ###########       |
                   #                       |                        |
                   #                       |                        |
                   #                       |                        |
########################################   |                        |
#                                      #   |                        |
#            AST Exchange              #   |                        |
#                                      #   |                        |
########################################   |                        |
                   #                       |                        |
                   #                       |                        |
                   #                       |                        |
                   #                       |                        |
                   #                       |                        |
                   #                       |                        |
                   #                       |                        |
########################################   |                        |
#                                      #   |                        |
#        AST Client Outlook            #   |                        |
#                                      #   |                        |
########################################   |                        |
                                           |                        |
                                           |                        |
Abgerufen von „https://kb.lachcraft.cloud/index.php?title=Kb_mx_general&oldid=68