DKIM, SPF, DMARC, Mail reverse DNS

    Hallo,
    ich möchte gerne i-mscp 1.3.0 auf srv.example.com mit DKIM, SPF und DMARC aufsetzen. Dabei gerate ich etwas ins schleudern.


    Normalerweise werden die Zonefiles ja mit dem MX Eintrag mail.domain.com angelegt. Ich habe jetzt über ein Skript in listeners.d den MX überschrieben und bei allen domains auf srv.example.com (I-MSCP Server gesetzt). So kann ich ein Zertifikat für die entsprechenden Dienste nutzen und der Reverse DNS stimmt.
    - Im Forum steht etwas von IMAP/POP auf manual Mode setzen um das zu erreichen, leider habe ich nicht gefunden wie/wo ich das umstelle


    Das DKIM Plugin habe ich installiert und aktiviert. Es werden allerdings keine Einträge in den Zonefiles vorgenommen.
    - ist das Plugin Domain bezogen ?
    - wenn ja, wie kann ich am besten (sollte I-MSCP Updates überstehen) den dkim Eintrag in die Zonefiles eintragen (also nicht für domain.com sondern srv.example.com) ?


    Zu DMARC habe ich gelesen, der Eintrag müsse mit der FROM: Domain im Header übereinstimmen. Wenn ich mir outlook.com ansehe, ist dem nicht so.
    - reichen die dmarc Einträge für domain.com wenn srv.example.com der MX ist und die Mailadressen auf dmarc@example.com zeigen ?


    Danke im Voraus allen, die mir auch in Teilen helfen konnten ;)


    Christoph

    Als Mailserver ist bereits der FQDN angegeben. Ich vermute jedoch, dass der MX auf mail.domain.tld falsch ist. Ich erstelle hierfür einen Ticket. Der Reverse DNS stimmt auch mit mail.domain.tld, sofern also rDNS der FQDN definiert ist. Das hat nichts mit dem MX zu tun :)


    Was du mit Mode meinst verstehe ich nicht ganz. Wenn du den internen iMSCP Mailserver verwendest, musst du nichts umstellen. Nur beim Verwenden eines externen Mailservers.


    Bezüglich DKIM, in den lokalen DNS werden die Keys eingetragen. Und ja das Plugin ist Domain bezogen, du musst OpenDKIM im Panel für jede Domain einzeln aktivieren (glaube vom Reseller aus).
    Verwendest du den imscp DNS oder einen Externen. Bei einem Externen einfach dort, wo du OpenDKIM für die Domain aktivierst, die Einträge kopieren und bei deinem externen DNS eintragen.


    Zu DMARC, hierfür gibt es noch kein Plugin. Sofern nicht vorhanden, kannst gerne einen Feature Request erstellen.


    PS: Nächstes mal BITTE pro Fehler/Frage einen eigenen Thread erstellen. Hier sind paar Fragen zusammengewürfelt, was die Übersicht erschwert (merkst du gleich, wenn du antworten möchtest)^^

    @Ninos


    https://github.com/i-MSCP/imsc…-txt-dns-resource-records


    For the issue that you opened lately we will discuss about it later.

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206

    SSH key for online support

    @Ninos danke für Deine Antworten. Ich wollte das ganze als ein Thema zusammenfassen, da es irgendwie zusammengehört.


    Mein Server hat nur einen reverse DNS, da ich nur eine IP habe. Also benötige ich einen Weg den MX für domain.tld von mail.domain.tld, domain1.tld von mail.domain1.tld etc. auf srv.domain.tld zu ändern. Wenn ich eine Domain anlege sieht der Teil der Zonefile ja so aus:

    Code
    1. domain.tld IN SOA srv.domain.tld. hostmaster.srv.domain.tld. ( 2016081100 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 1209600 ; expire (2 weeks) 3600 ; minimum (1 hour) ) NS ns.domain.tld. NS ns1.domain.tld. A 1.1.1.1 MX 10 mail.domain.tld. TXT "v=spf1 a mx -all"$ORIGIN domain.tld.


    was ich allerdings brauche ist ja dann

    Code
    1. domain.tld IN SOA srv.domain.tld. hostmaster.srv.domain.tld. ( 2016081100 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 1209600 ; expire (2 weeks) 3600 ; minimum (1 hour) ) NS ns.domain.tld. NS ns1.domain.tld. A 1.1.1.1 MX 10 srv.domain.tld. TXT "v=spf1 a mx -all"$ORIGIN domain.tld.

    das mache ich dann weiterhin mit einem Listener, sollte es jemand benötigen hier der relevante Teil:

    Das bedeutet aber auch, daß ich für DKIM nicht das Plugin nutzen kann (soll ja für alle Domains automatisch gelten) sondern auch per Listener _dkim und _dmarc setze. Hat hier jemand schon einen Listener oder einen Ansatz wo ich wie neue Zeilen automatisiert einfüge ?

    Wieso soll das Plugin nach deinem Listener nicht mehr funktionieren? Für das Hinzufügen von Einträgen kannst evt. ein Blick auf folgendes Listener-File werfen:
    https://github.com/i-MSCP/imsc…med/20_bind9_dualstack.pl


    PS: Der MX-Eintrag wird evt in der 1.3.1 auf den FQDN gelegt: https://youtrack.i-mscp.net/issue/IP-1607
    PS²: Ich verstehe immer noch nicht ganz, wieso du derzeit gezwungen bist von mail.domain.tld auf den FQDN zu wechseln. Funktionieren wird der Mailversand auf jeden Fall, zeigt ja auch korrekt auf den Server :) Und der rDNS hat hier nichts zu tun, der Check ist im Übrigen dennoch gültig..

    Der Mailversand funktioniert, da ist kein Problem. Allerdings wird meiner Erfahrung nach häufig auch der rDNS geprüft (genauer HELO, FQDN, rDNS). Diese Prüfung soll der Server sauber durchlaufen. Daher soll der MX den Namen des FQDN haben und der FQDN reverse auf die sendende IP zeigen. Das Plugin werde ich nicht nutzen, da ich die Konfiguration global einschalten werde, spart also arbeit.


    Herzlichen Dank für die Infos !

    Die rDNS-Prüfung läuft sauber durch, auch mit mail.domain.tld, weil mail.domain.tld nicht als FQDN gesehen wird :) Es geht darum, welchen Header der Mailserver trägt.


    Ok, ja das Plugin sollte mal erweitert werden, dass DKIM per Default an ist..