Sie sind hier

Verbessern der Reputation eines Mailservers

Gespeichert von h2b am 7. März 2019 - 22:56
Problembeschreibung
System: 
Alle
Symptom: 
Mails, die vom eigenen Server versendet werden, landen im Spam- oder Junk-Ordner der Empfänger.

Es ist nicht allzu schwer, einen eigenen Mailserver aufzusetzen, jedoch landen die versandten Mails oftmals im Spam- oder Junk-Ordner der Empfänger – wenn überhaupt. Das liegt daran, dass die meisten Provider eingehende Mails blockieren, wenn sie sie für unerwünscht oder gar gefährlich halten.

Es gibt ein paar Maßnahmen, die man treffen kann, um die Reputation des eigenen Mailservers zu steigern, so dass versandte Mails von den meisten Providern akzeptiert werden. Ziemlich sicher reichen einzelne davon nicht aus, sondern man muss schon alle implementieren.

  1.  Reverse DNS
    Stelle sicher, dass reverse DNS-Lookups die korrekte Domain liefern. Normalerweise kann man das über die Administrationsoberfläche des Webspace-Hosters (nicht des Domain-Hosters) bewerkstelligen. Verbinde die IP des Servers, auf dem dein Mailserver läuft, mit der Domain, von der deine Mails versendet werden.

  2. Hostname
    Sorge dafür, dass das
    hostname-Kommando den korrekten Servernamen liefert, z. B.
     
    hostname example.org

  3. SPF (Sender Policy Framework)
    Füge einen TXT-Record der Domain hinzu mit dem Inhalt
     
    v=spf1 a mx ~all
    Das geht normalerweise über die Administrationsoberfläche des Domains-Hosters. Es stellt sicher, dass E-Mails, die behaupten von deiner Domain zu kommen, von einer IP-Adresse gesandt werden müssen, die dem A- oder MX-Record deiner Domain entsprechen.

  4. DKIM (Domain Keys Identified Mail)
    Diese Maßnahme hängt vom verwendeten Mailprogramm ab. Hier ist ein Beispiel für exim4 auf einem Debian-System.
    Erzeuge zunächst einen privaten und dazugehörigen öffentlichen Schlüssel im Verzeichnis
    /etc/exim4/dkim/:
      openssl genrsa -out example.org-private.pem 2048
      openssl rsa -in example.org-private.pem -out example.org.pem -pubout -outform PEM

    Füge einen TXT-Record namens <selector>._domainkey der Domain hinzu, welcher enthält
       
    v=DKIM1;k=rsa;p=
    gefolgt vom oben generierten öffentlichen Schlüssel. Ersetze dabei <selector>  durch eine beliebige Zeichenkette, die dem zugehörigen Eintrag in /etc/exim4/exim4.conf.localmacros entspricht (s. u.). Falls der Domain-Service den Record aufgrund seiner Länge ablehnt, zerlege ihn in durch Anführungszeichen getrennte Teile.
    Danach passe
    /etc/exim4/exim4.conf.localmacros wie folgt an
      DKIM_CANON = relaxed
      DKIM_SELECTOR = 20190215
      DKIM_DOMAIN = example.org
      DKIM_PRIVATE_KEY = /etc/exim4/dkim/example.org-private.pem

    und führe
      update-exim4.conf
      service exim4 restart

    aus.

Bereich:

Kommentare

Eine weitere Maßnahme, die man treffen kann, ist das Anlegen eines TXT-Records namens _dmarc entsprechend der DMARC-Spezifikation (Domain-based Message Authentication, Reporting and Conformance). Damit lassen sich Kriterien für die SPF- und DKIM-Prüfung festlegen. In seiner einfachsten Form hätte dieser TXT-Record den Inhalt

  v=DMARC1; p=none

was soviel heißt wie "tue nichts weiter". Damit kann man anfangen und dann je nach Bedarf Spezifikationen hinzufügen, s. etwa Wikipedia.