Ich kann mich diesem Thema anschließen. Ich versuche mittlerweile seit mehreren Wochen DKIM zum laufen zu bringen mit meinem Reseller Tarif und es funktioniert einfach nicht.
Und das verstehe ich nicht. Es gibt eine ganz simple Lösung für DNSSEC und DKIM. DNS Server zu desec.io deligieren und Ruhe ist
Und das verstehe ich nicht. Es gibt eine ganz simple Lösung für DNSSEC und DKIM. DNS Server zu desec.io deligieren und Ruhe ist
Du kannst bei deSEC im DNS auch nichts anderes eintragen für DKIM als bei netcup. Wenn das, was du da einträgst nicht passt, dann passtt es eben nicht. deSEC versendet ja nicht deine Mails, sondern verwaltet nur die Zone(n) für deine Domain(s).
Allerdings interpretiere ich den von marcweb verlinkten Thread so, dass DKIM am Ende funktioniert hat?!? Ist ja letztlich so, dass es den Mail-Relays egal ist, was du im DNS deiner Domain einträgst. Wenn die Mail darüber läuft, dann tragen sie die DKIM-Header ein. Ob das dann valide ist oder nicht, hängt allerdings von deinem im DNS veröffentlichten DomainKey ab, der muss natürlich mit dem zur Verschlüsselung verwendeten Private Key zusammenpassen, ansonsten ist DKIM nicht valide. Ich mag mir jetzt nicht extra wieder ein Reseller Webhosting zulegen, nur um das zu testen.
Vielleicht mag sich ja jemand melden, der ein Reseller Webhostig hat und beim Versand eine valide DKIM Signatur attestiert bekommt von den Testtools oder sonstigen Empfängern. Im anderen Thread wurde ja von MECSA immerhin 67% bei DKIM angezeigt, das passiert sicher nicht, wenn die DKIM-Header nicht eingetragen oder in jedem Fall nicht valide sind. Dasdeutet für mich darauf hin, dass die von MECSA angforderte Antwortmail bei mehreren Versuchen innerhalb einer gewissen Zeitspanne über insgesamt drei verschiedene SMTP-Server gesendet wurden, von denen zwei korrekt signiert haben und einer nicht -> dann sollte man eben den, der nicht korrekt signiert, nicht verwenden.
Sorry für die späte Rückmeldung.
Da ich nicht über einen Score von 75 bei MECSA gekommen bin, der Support sich nicht mehr gemeldet hat und ich kurzfristig eine Lösung brauchte, bin ich auf meinem selbst gehosteten Server geblieben. War halt keine Option wenn DKIM nicht zu 100% funktioniert.
Ich habe aber nach wie vor Interesse an dem Thema, wenn sich das Problem lösen lässt, würde ich das Reseller Hosting gerne nochmal probieren, da es auch für mich ein Zielführendes Produkt wäre, wenn ich dann den Server nicht mehr selbst verwalten muss.
An für sich, habe folgendes gemacht:
Die Domain, mit der ich getestet habe, liegt bei Netcup.
Ich habe in Plesk erst den Kunden mit der entsprechenden Domain angelegt und diese dann danach im CCP dem Reseller Hosting zugewiesen.
Danach habe ich folgende Records ergänzt.
| @ | txt | v=spf1 mx a include:_spf.webhosting.systems ~all |
| key1._domainkey | CNAME | key1._domainkey.webhosting.systems |
| key2._domainkey | CNAME | key2._domainkey.webhosting.systems |
| _dmarc | TXT | v=DMARC1; p=quarantine; sp=reject; adkim=s; aspf=s; pct=100 |
Als SMTP und IMAP Server habe ich (in meinem Fall) rw0b0d.webhosting.systems verwendet.
Außerdem habe ich in einem späteren Schritt den MX Record für meinedomain.de entfernt und nur noch den für rw0b0d.webhosting.systems stehen lassen.
Allerdings ging DKIM auch schon vorher, zumindest halt mit nem Score von 75
DNSSEC hatte ich durchgehen deaktiviert.
Ich weiß natürlich nicht, wie eure Plesk Reseller Server konfiguriert sind.
Ich hoffe die sind identisch.
Vielleicht hat ja wer bock mal seine Domain und die entsprechenden Records zu teilen, dann kann man ja ein wenig schauen.
Ansonsten halt via PM.
Bin gerne bereit der Sache auf den Grund zu gehen.
Das ist richtig, sollte für DKIM nicht relevant sein.
Schreib mir doch mal ne PM mit deiner Domain wenn du magst, vielleicht fällt mir ja etwas auf.
Das ist richtig, sollte für DKIM nicht relevant sein.
Schreib mir doch mal ne PM mit deiner Domain wenn du magst, vielleicht fällt mir ja etwas auf.
Da ich heute nochmal ein wenig Zeit hatte, die DKIM bei den normalen Webhosting Tarifen wird ja identisch eingebunden und funktioniert auch ohne Probleme. Nur bei den Reseller Tarifen funktioniert es, zumindest bei mir, nicht.
Ohne mehr Infos, kann ich leider nicht mehr helfen, da ich das Reseller Produkt zurückgegeben habe.
Da mich das Thema weiterhin beschäftigt hat, habe ich mir nun nochmals das Reseller Webhosting 2000 geholt.
DKIM funktioniert nun auch.
Hier die Ergebnisse:
https://mecsa.jrc.ec.europa.eu/
DNSSEC funktioniert nicht, da die Domain webhosting.systems kein DNSSEC nutzt.
Das ist natürlich ein wenig schade.
Hier meine Records:
| Host | Type | MX | Destination |
| * | A | 185.243.XX.XX | |
| * | AAAA | 2a03:4000:2c:91d:21:XXXX:X:X | |
| @ | A | 185.243.XX.XX | |
| @ | AAAA | 2a03:4000:2c:91d:21:XXXX:X:X | |
| @ | TXT | v=spf1 mx a include:_spf.webhosting.systems ~all | |
| @ | MX | 50 | rw0b21.webhosting.systems |
| autoconfig | CNAME | autoconfig.webhosting.systems | |
| key1._domainkey | CNAME | key1._domainkey.webhosting.systems | |
| key2._domainkey | CNAME | key2._domainkey.webhosting.systems | |
| _dmarc | TXT | v=DMARC1; p=quarantine; sp=reject; adkim=s; aspf=s; pct=100 | |
| _mta-sts | TXT | v=STSv1; id=1234567890 |
Hallo p0se ,
entschuldige, dass ich erst jetzt auf dein erneutes Posting reagiere. Die letzten Tage waren etwas turbulent, und ich bin erst heute dazu gekommen, weiter zu testen und verschiedene Szenarien durchzuspielen.
Dank eines Hinweises von lukbae habe ich meinen SPF-Eintrag überprüft und nicht mehr ausschließlich auf meinen Reseller-Tarif beschränkt, sondern stattdessen auf _spf.webhosting.systems gesetzt.
Zusätzlich ist mir - durch die Hinweise von Lukas und die von dir geteilten Screenshots mit den Outbound-Einträgen - aufgefallen, dass meine E-Mails nicht über relay.yourmailgateway.de versendet werden, sondern direkt über mein Reseller-Webhosting.
Bislang hat sich an diesem Verhalten nichts geändert. Möglicherweise müssen die DNS-Änderungen erst vollständig greifen, allerdings wäre es mir neu, dass der SPF-Eintrag selbst die Versandroute der E-Mails beeinflusst, sondern lediglich bei der Authentifizierung eine Rolle spielt. Falls ich hier falsch liege, klärt mich bitte auf.
Sollte meine Annahme korrekt sein, dass der SPF-Eintrag nicht über das Versand-Gateway entscheidet, dann dürfte es sich um einen Supportfall für netcup handeln, da meine E-Mails offenbar über den falschen Weg versendet werden.
Ich bin gespannt, wie es weitergeht. Mein innerer Monk hat jedoch bereits gesiegt - da ich saubere Authentifizierungsergebnisse und möglichst viele grüne Haken bevorzuge, habe ich mir bereits eine alternative Lösung gebaut. Diese ersetzt zumindest für Kunden mit geschäftskritischem E-Mail-Verkehr teilweise den E-Mail Versand/Empfang über das netcup Reseller-Hosting. Mein Ziel ist es, bei diesen Kunden ausschließlich solche Werte zu sehen, wie ich sie aktuell in meinem Testsystem erhalte:
Viele Grüße
Marc
War das mit der Trennung nicht nur bei Privatkunden?` Ich ging beim Webhosting (Reseller) davon aus, das es kein separates Gateway gab.
* Dies kann natürlich eine totale Falschinformation sein.
War das mit der Trennung nicht nur bei Privatkunden?` Ich ging beim Webhosting (Reseller) davon aus, das es kein separates Gateway gab.
* Dies kann natürlich eine totale Falschinformation sein.
Da p0se in seinem letzten Beitrag geschrieben hat, dass er sich ein Reseller Webhosting 2000 geholt hat und seine Tests offensichtlich über das Gateway gelaufen sind, würde ich fast behaupten, dass es nicht nur für Privatkunden bzw. normale Webhosting Pakete genutzt wird. 
Auch bei Lukas läuft alles über das separate Gateway. Nur bei mir irgendwie nicht.
Es wäre ja auch durchaus sinnvoll, dass es über ein zentrales Gateway läuft, denn dann machen diese CNAME DKIM Einträge auch Sinn. Wenn es über jeden Server direkt laufen würde, so wie es bei mir aktuell ist, hätte ja jeder auch eigene/andere Keys, die er verwenden/eintragen müsste.
Tatsächlich habe ich aber mein Reseller Tarif schon mehrere Jahre evtl. hat sich da ja mal etwas geändert und ich wurde vergessen oder so 
Habe zwischenzeitlich mal ein Support Ticket aufgemacht.
Ich halte euch auf dem laufenden!
Viele Grüße
Marc
Freut mich, dass du ein Stück weiter gekommen bist!
Wie sieht denn deine Alternative Lösung aus?
Ich sträube mich ein wenig davor, eine Mailcow aufzusetzen.
Nicht weil es eine große Herausforderung wäre, sondern weil ich natürlich möglichst Geld sparen möchte und der Meinung bin, dass bei einem Reseller Hosting auch Mail gescheit funktionieren sollte.
DANE und DNSSEC wären dementsprechend schon schön.
Hallo zusammen,
hier meine abschließende Rückmeldung für alle. Zeitgleich zu meinem Test habe ich auch eine Rückmeldung vom Netcup-Support erhalten. Der Support hat sich nach meinem Hinweis auch hier die Diskussion mit angesehen gehabt und darauf Bezug genommen - vielen Dank dafür!
Folgende Erkenntnisse konnte ich heute gewinnen:
Bei Netcup wird beim Versand einer E-Mail tatsächlich der SPF-Eintrag der betreffenden Domain überprüft. Auf Basis dieser Überprüfung wird entschieden, über welches Gateway die E-Mail versendet wird. Wenn der SPF-Eintrag include:_spf.webhosting.systems enthält, erfolgt der Versand über das uns bekannte Gateway relay.yourmailgateway.de.
Der Support wies mich jedoch auch darauf hin, dass derzeit ein Bug existiert. Daher ist es essenziell, dass include:_spf.webhosting.systems nicht an erster Stelle im SPF-Record steht. Ich zitiere dazu aus dem Support-Ticket als Beispiel:
| Funktioniert NICHT | v=spf1 include:_spf.webhosting.systems mx a ~all |
| Funktioniert | v=spf1 mx a include:_spf.webhosting.systems ~all |
Tatsächlich war mir die Abfrage des SPF-Records in dieser Form bisher nicht bekannt. Mir war bislang nur der direkte Weg geläufig, bei dem das Ziel-Gateway explizit vorgegeben wird - höchstens mit einem Load Balancer dazwischen. Die dynamische Steuerung des Mailversands auf Basis des SPF-Records hatte ich bisher nicht auf dem Schirm, wobei diese Funktionalität natürlich für größere Infrastrukturen wie die von Netcup Sinn macht.
Sobald abschließend die beiden CNAME-Einträge korrekt gesetzt sind, funktioniert auch die DKIM-Signatur vollständig.
Wie bereits gestern berichtet, hatte ich den SPF-Record gemäß der empfohlenen Konfiguration gesetzt. Gestern funktionierte der Versand zwar noch nicht über das richtige Gateway, allerdings lag dies lediglich am Caching der DNS-Einträge, weshalb es bis zu 48 Stunden dauern kann bis der Versand dann richtig läuft.
Nun, nachdem der Eintrag ausreichend lange aktiv war, erfolgt der Versand über das richtige Gateway - und damit funktioniert nun auch die DKIM-Signatur.
Vielen Dank an alle Beteiligten! Nicht nur ist das "Problem" nun erfolgreich behoben, sondern ich denke, wir alle konnten dabei auch etwas Neues dazulernen.
Viele Grüße
Marc
PS.: Tatsächlich wird im Wiki ebenfalls empfohlen, den SPF-Record genau wie oben beschrieben zu setzen. Warum ich ursprünglich meine direkte Reseller-Webhosting-IP eingetragen habe, kann ich gar nicht genau sagen - vermutlich habe ich mich dabei von Empfehlungen aus verschiedenen Mail-Test-Tools leiten lassen. Da ich den SPF-Record bisher nie direkt mit dem Versandweg der E-Mail in Verbindung gebracht habe, habe ich der Vorgabe aus dem Wiki natürlich nicht allzu viel Beachtung geschenkt, zumindest nicht auf dieses Problem bezogen. Definitiv mein Fehler! - Sorry 
