Damit Ihre E-Mails ordnungsgemäß zugestellt werden können, ist die Implementierung starker Authentifizierungsstandards wie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) sowie DMARC (Domain-based Message Authentication, Reporting & Conformance) notwendig. In dieser Anleitung zeigen wir Ihnen, wie Sie diese auf unseren Systemen konfigurieren.
SPF-Eintrag
Standardmäßig haben Domains, welche im DirectAdmin Hosting Panel erstellt werden, bereits einen DNS-Eintrag.
Falls Sie diesen gelöscht haben, kann dieser ganz einfach wieder hinzugefügt werden.
Hierfür muss zunächst unter DNS-Verwaltung auf “Eintrag hinzufügen” geklickt werden. Dort auf Eintragstyp “TXT” und bei “TXT-Eintragstyp” auf SPF. Es öffnet sich eine Vorlage, in welcher Sie den SPF-Eintrag konfigurieren können.
Im SPF-Eintrag müssen alle Server hinterlegt sein, welche E-Mail versenden. Falls Sie also mehr als einen Mailserver verwenden, muss dies dort auch erweitert werden. Es sollten alle Domains mit SPF und DMARC geschützt werden, egal ob über diese E-Mail versendet werden, oder nicht. Denn Cyberkriminelle könnten versuchen, andere Domains zu fälschen, die Sie nicht zum Versenden von E-Mails verwendest, da sie nicht mit SPF geschützt sind.
Verwenden Sie oder fügen SIe niemals einen Datensatz mit +all
ein. Die einzige Möglichkeit, all
produktiv zu nutzen, ist in den Mechanismen ~all
oder -all
.
Des Weiteren darf maximal ein SPF-Eintrag pro Domain existieren.
DKIM-Eintrag
Auch die Konfiguration von DKIM ist in DirectAdmin sehr einfach gehalten. Hierfür muss im DirectAdmin Hosting Panel unter “E-Mail Konten” lediglich auf “DKIM aktivieren” geklickt werden. Damit wird automatisch ein dementsprechender DNS-Eintrag erstellt.
DMARC-Eintrag
DMARC ist eine wichtige Sicherheitsmaßnahme, um den E-Mail-Verkehr zu schützen und Phishing-Angriffe zu verhindern. Diese Anleitung hilft Ihnen bei der Einrichtung von DMARC für Ihre Domain.
DMARC-Eintrag erstellen
Das Einrichten des DMARC-Eintrags funktioniert ähnlich dem SPF-Eintrags erstellen, es gibt jedoch sehr viele Optionen.
Klicken Sie hierfür in DirectAdmin unter DNS-Verwaltung auf “Eintrag hinzufügen” und dann auf Eintragstyp “TXT”. Anschließend bei TXT-Eintragstyp auf “DMARC”. In dieser Vorlage muss nun lediglich die RUA E-Mail Adresse hinzugefügt werden. Alternativ lässt sich jedoch auch mehr konfigurieren. Ein Beispiel für einen DMARC-Eintrag könnte so aussehen:
v=DMARC1; p=none; rua=mailto:reports@example.com; ruf=mailto:forensics@example.com; sp=reject
v=DMARC1: Version des DMARC-Protokolls
p=none: Anfangsrichtlinie, um Berichte zu sammeln, ohne E-Mails zu blockieren
rua=mailto:reports@example.com: Empfängeradresse für Aggregate Reports
ruf=mailto:forensics@example.com: Empfängeradresse für Forensic Reports
sp=reject: Ablehnungsrichtlinie für Subdomains, die DMARC nicht bestehen
DMARC-Richtlinie auswählen
none: Diese Richtlinie sammelt Berichte über DMARC-Aktivität, blockiert jedoch keine E-Mails. Ideal für die Anfangsphase.
quarantine: Markiert verdächtige E-Mails als Spam und verschiebt sie in den Spam-Ordner des Empfängers.
reject: Lehnt nicht autorisierte E-Mails vollständig ab und verhindert, dass sie den Empfänger erreichen. Empfohlen nach erfolgreicher Überwachung und Anpassung.
Veröffentlichen Sie den DMARC-Eintrag in Ihrem DNS, um die DMARC-Richtlinien wirksam werden zu lassen.
Überwachung und Anpassung
Überwachen Sie regelmäßig die DMARC-Berichte, um sicherzustellen, dass alles wie erwartet funktioniert. Passen Sie die Richtlinien bei Bedarf an, um Zustellprobleme zu vermeiden und die Sicherheit Ihrer E-Mails zu verbessern.
Reporting-Optionen
Aggregate Reports (rua): Sammelberichte, die eine Übersicht über die DMARC-Aktivität geben. Diese Berichte werden normalerweise täglich im XML-Format gesendet.
Forensic Reports (ruf): Detaillierte Berichte über einzelne E-Mails, die DMARC-Prüfungen nicht bestanden haben. Diese Berichte werden normalerweise in Echtzeit im textbasierten Format gesendet.
Optionen für Subdomains (sp)
sp=none: Subdomains verwenden die gleiche Richtlinie wie die Hauptdomain.
sp=quarantine: Subdomains folgen einer Quarantäne-Richtlinie, unabhängig von der Hauptdomain-Richtlinie.
sp=reject: Subdomains lehnen nicht autorisierte E-Mails ab, unabhängig von der Hauptdomain-Richtlinie.
Falls Sie weitere Fragen haben oder Unterstützung bei der Einrichtung von SPF, DKIM oder DMARC benötigen, zögern Sie nicht, unseren Support zu kontaktieren.