Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
DKIM bei mehreren Domains
42 views
Skip to first unread message
Sebastian Suchanek
Oct 21, 2023, 3:21:05 PM10/21/23
to
Hallo NG,
nachdem ich die Stöckchen, die einem Google hinhält, wenn man
noch Mails an deren Kunden schicken will, lange ignoriert habe,
wird's nun leider doch Zeit, sich 'mal mit SPF und DKIM
auseinander zu setzen. SPF ist schon eingerichtet, aber bei DKIM
habe ich noch ein Verständnisproblem.
Mein Mailserver ist für eine ganze Reihe von Domains
(domain1.tld, domain2.tld, domain3.tld usw.) "zuständig". Da die
Domains teilweise gar nichts miteinander zu tun haben, habe ich
mir noch eine "neutrale" Domain (mta-domain.tld) eingerichtet.
Diese mta-domain.tld ist bei domain1.tld etc. jeweils als MX im
DNS eingetragen und die IPv4-Adresse des Servers löst rückwärts
nach mta-domain.tld auf.
Wo und wie muss ich nun DKIM einrichten? Für jede Domain separat
(ggf. trotzdem mit demselben Key-Paar...) oder nur für mta-
domain.tld?
TIA,
Sebastian
nachdem ich die Stöckchen, die einem Google hinhält, wenn man
noch Mails an deren Kunden schicken will, lange ignoriert habe,
wird's nun leider doch Zeit, sich 'mal mit SPF und DKIM
auseinander zu setzen. SPF ist schon eingerichtet, aber bei DKIM
habe ich noch ein Verständnisproblem.
Mein Mailserver ist für eine ganze Reihe von Domains
(domain1.tld, domain2.tld, domain3.tld usw.) "zuständig". Da die
Domains teilweise gar nichts miteinander zu tun haben, habe ich
mir noch eine "neutrale" Domain (mta-domain.tld) eingerichtet.
Diese mta-domain.tld ist bei domain1.tld etc. jeweils als MX im
DNS eingetragen und die IPv4-Adresse des Servers löst rückwärts
nach mta-domain.tld auf.
Wo und wie muss ich nun DKIM einrichten? Für jede Domain separat
(ggf. trotzdem mit demselben Key-Paar...) oder nur für mta-
domain.tld?
TIA,
Sebastian
Marco Moock
Oct 21, 2023, 3:41:20 PM10/21/23
to
Am 21.10.2023 um 21:20:52 Uhr schrieb Sebastian Suchanek:
> Wo und wie muss ich nun DKIM einrichten? Für jede Domain separat
> (ggf. trotzdem mit demselben Key-Paar...) oder nur für mta-
> domain.tld?
Für jede Domain muss der Key im DNS eingetragen werden.
> Wo und wie muss ich nun DKIM einrichten? Für jede Domain separat
> (ggf. trotzdem mit demselben Key-Paar...) oder nur für mta-
> domain.tld?
Dann musst du bei der Signierung sicherstellen, dass der passende Key
genutzt wird.
Andreas Metzler
Oct 22, 2023, 1:49:45 AM10/22/23
to
verifizierende Empfänger werden auch dort im DNS den DKIM Eintrag
suchen.
lg Andreas
--
`What a good friend you are to him, Dr. Maturin. His other friends are
so grateful to you.'
`I sew his ears on from time to time, sure'
Sebastian Suchanek
Oct 22, 2023, 4:01:22 AM10/22/23
to
Thus spoke Andreas Metzler:
> Marco Moock <mm+use...@dorfdsl.de> wrote:
>> Am 21.10.2023 um 21:20:52 Uhr schrieb Sebastian Suchanek:
>
>>> Wo und wie muss ich nun DKIM einrichten? Für jede Domain
>>> separat (ggf. trotzdem mit demselben Key-Paar...) oder
>>> nur für mta- domain.tld?
>
>> Für jede Domain muss der Key im DNS eingetragen werden.
>> Dann musst du bei der Signierung sicherstellen, dass der
>> passende Key genutzt wird.
>
> Sicher? Sebastian wird ja mit d=mta-domain.tld signieren
> [...]
Das ist aktuell eben genau die Frage, die ich mir stelle: Was
ist in meiner Konstellation richtig oder zumindest "best
practice"? Mails von domain1.tld mit domain1.tld oder mit
mta-domain.tld signieren?
Exim (der MTA, den ich einsetze) scheint man ja durchaus auch
beibringen zu können, domainabhängig mit verschiedenen Keys
zu jonglieren.[1]
Tschüs,
Sebastian
_____
[1] https://wiki.sharewiz.net/doku.php?id=exim4:selective_and_multiple_domain_dkim_with_exim
> Marco Moock <mm+use...@dorfdsl.de> wrote:
>> Am 21.10.2023 um 21:20:52 Uhr schrieb Sebastian Suchanek:
>
>>> Wo und wie muss ich nun DKIM einrichten? Für jede Domain
>>> separat (ggf. trotzdem mit demselben Key-Paar...) oder
>>> nur für mta- domain.tld?
>
>> Für jede Domain muss der Key im DNS eingetragen werden.
>> Dann musst du bei der Signierung sicherstellen, dass der
>> passende Key genutzt wird.
>
> Sicher? Sebastian wird ja mit d=mta-domain.tld signieren
Das ist aktuell eben genau die Frage, die ich mir stelle: Was
ist in meiner Konstellation richtig oder zumindest "best
practice"? Mails von domain1.tld mit domain1.tld oder mit
mta-domain.tld signieren?
Exim (der MTA, den ich einsetze) scheint man ja durchaus auch
beibringen zu können, domainabhängig mit verschiedenen Keys
zu jonglieren.[1]
Tschüs,
Sebastian
_____
[1] https://wiki.sharewiz.net/doku.php?id=exim4:selective_and_multiple_domain_dkim_with_exim
Arno Welzel
Oct 23, 2023, 8:58:11 AM10/23/23
to
Andreas Metzler, 2023-10-22 07:49:
> Marco Moock <mm+use...@dorfdsl.de> wrote:
>> Am 21.10.2023 um 21:20:52 Uhr schrieb Sebastian Suchanek:
>
>>> Wo und wie muss ich nun DKIM einrichten? Für jede Domain separat
>>> (ggf. trotzdem mit demselben Key-Paar...) oder nur für mta-
>>> domain.tld?
>
>> Für jede Domain muss der Key im DNS eingetragen werden.
>> Dann musst du bei der Signierung sicherstellen, dass der passende Key
>> genutzt wird.
>
> Sicher? Sebastian wird ja mit d=mta-domain.tld signieren und
> verifizierende Empfänger werden auch dort im DNS den DKIM Eintrag
> suchen.
Die E-Mails, die ich mit DKIM-Signatur bekomme, sind aber alle mit der
Domain als Quelle für den Key signiert, die auch im From-Header der
E-Mail angegeben sind.
Man darf bei "d=" aber auch eine beliebige andere Domain angeben und
kann sich so den Aufwand sparen, für jede E-Mail-Absenderdomain eine
Anpassung vornehmen zu müssen. Andererseits wird dadurch der eigentliche
Zweck eines Nachweises des "Original"-Absenders erschwert, da ein
Angreifer dann einfach seine eigene Domain verwenden und gefälschte
E-Mail-Header mit seinem eigenen Key signieren kann.
--
Arno Welzel
https://arnowelzel.de
> Marco Moock <mm+use...@dorfdsl.de> wrote:
>> Am 21.10.2023 um 21:20:52 Uhr schrieb Sebastian Suchanek:
>
>>> Wo und wie muss ich nun DKIM einrichten? Für jede Domain separat
>>> (ggf. trotzdem mit demselben Key-Paar...) oder nur für mta-
>>> domain.tld?
>
>> Für jede Domain muss der Key im DNS eingetragen werden.
>> Dann musst du bei der Signierung sicherstellen, dass der passende Key
>> genutzt wird.
>
> Sicher? Sebastian wird ja mit d=mta-domain.tld signieren und
> verifizierende Empfänger werden auch dort im DNS den DKIM Eintrag
> suchen.
Domain als Quelle für den Key signiert, die auch im From-Header der
E-Mail angegeben sind.
Man darf bei "d=" aber auch eine beliebige andere Domain angeben und
kann sich so den Aufwand sparen, für jede E-Mail-Absenderdomain eine
Anpassung vornehmen zu müssen. Andererseits wird dadurch der eigentliche
Zweck eines Nachweises des "Original"-Absenders erschwert, da ein
Angreifer dann einfach seine eigene Domain verwenden und gefälschte
E-Mail-Header mit seinem eigenen Key signieren kann.
--
Arno Welzel
https://arnowelzel.de
0 new messages