CCP - DNS - Netcup-Webhosting + MAIL-Hosting > Sicherheit - Was ist momentan möglich und wie funktioniert es? (DKIM, SPF, DMARC, DNSSEC, DANE, MTA-STS, … ???)

    Liebe Schwarmintelligenz, ich hab

    • Inklusiv-de-Domain bei Netcup
    • Webshosting bei Netcup
    • inkl. Mail-Hosting
    • und plane dann alle unsere Domains hier anzusiedeln.

    Da ich NOCH nicht weiß was bei CCP und Plesk ein Bug oder ein Feature ist, habe ich folgende Fragen dazu:


    0. Welche Möglichkeiten habe ich das Mail-Hosting bei Netcup und den Mailversand zu schützen?

    • DKIM [Ja] (siehe unten)
    • SPF [Ja]
    • DMARC [Ja]
    • DNSSEC [wie aktivieren ?]
    • DANE [wie ?]
    • MTA-STS [wie ?]
    • Fällt euch noch etwas ein [?]


    Mein DNS der bei Netcup gehosteten Domain und Webhosting sieht momentan folgendermaßen aus:


    TTL 300
    DNSSEC Status [X] (was auch immer das bedeuten soll)


    * A XX.XX.XX.XX (laut CCP Products Overview web-server ip-adress)
    * AAAA XXXX:XXXX:XX:XXXXX::XX:XXXX (laut CCP Products Overview web-server IPv6 address)
    @ A XX.XX.XX.XX (laut CCP Products Overview web-server ip-adress)
    @ AAAA XXXX:XXXX:XX:XXXXX::XX:XXXX (laut CCP Products Overview web-server IPv6 address)
    @ TXT v=spf1 mx a include:_spf.webhosting.systems ~all
    @ MX 10 mail.inklusivdomain.de
    @ MX 50 mxeXXX.netcup.net (laut CCP Products Overview SMTP-Server)
    autoconfig CNAME autoconfig.netcup.net
    db A YY.YY.YY.YY - laut CCP Products Overview MySQL-Server ip-adress)
    key1._domainkey CNAME key1._domainkey.webhosting.systems
    key2._domainkey CNAME key2._domainkey.webhosting.systems
    _dmarc TXT v=DMARC1; p=quarantine; pct=100; rua=mailto:spam@inklusivdomain.de; adkim=s; sp=reject; aspf=s
    mail A ZZ.ZZ.ZZ.ZZ (laut CCP Products Overview SMTP-Server IP address)
    webmail A 46.38.XXX.XXX (diese IP finde ich nicht im CCP, zeigt aber OHNE https aufs Webmail-interface - Woher bekomme ich dafür das https? Oder kann der EIntrag weg?


    1. CCP > E-Mail-Einstellungen für     inklusivdomain.de
    Dropdown 1: WebMail - Webmailserver 01 ODER Ohne - Was ist hier auszuwählen?

    Dropdown 2: SSL/TLS-Zertifikat für Webmail - Nicht ausgewählt UND nichts auswählbar?

    Dropdown 3: SSL/TLS-Zertifikat für E-Mail - Nicht ausgewählt UND nichts auswählbar?

    2. https://www.learndmarc.com/ und ALLE anderen Testseiten:
    >> Running DKIM
    I see you haven't included a DKIM signature. Therefore, I am unable to authenticate the email and determine if the message was altered during transit. The Auth Result is none.
    >> Finalizing DMARC
    DKIM auth result did not produce a pass. DMARC DKIM result is fail.

    Auth Result PASS

    DMARC Alignment PASS
    SPF PASS
    Wie bekomm ich nun den DKIM Schlüssel in meine E-Mail? Ich versende zum Testen per Apple-mail falls das gut zu wissen ist.


    3. Wo aktiviere ich DNSSEC?


    4. Was muss ich wo einstellen um DANE und MTA-STS zu verwenden?


    5. Webmail IP hat kein https und woher kommt diese IP im default DNS Setup?


    Disclaimer

    Ja - ich warte auch lang genug zwischen den Tests, seit 2 Wochen dreh ich mich im Kreis 8o.
    Ja - ich habe dazu auch alle Foreneinträge gelesen, leider enden die spannenden ohne Lösung oder Anleitung^^.


    Useful sites:
    DMARC INFO
    Learn DMARC Validator

    EU Mail Sec Test

    dkimvalidator.com

    mail-tester.com

    mxtoolbox.com


    6. Offtopic - Wie kann ich im webhosting.systems > Website und Domains aus dem Hosting ungebrauchte Domains/Hosts entfernen? Bin ich blind? Ich sehe Subdomains entfernen, aber keine Domains.

    DNSSEC hast du mit dem Haken bei DNSSEC-Status bereits aktiviert. Was angesichts deiner restlichen Testergebnisse trotz ausreichender Wartezeiten möglicherweise auch schon die Ursache sein könnte, weil DNSSEC bei netcup im Moment noch gern mal kaputt geht und somit die Domain oder einzelne Records eventuell nicht mehr aufgelöst werden. Probier den Haken mal rauszunehmen und nach etwas Wartezeit wieder zu setzen. Das hilft meist. Oder lass den Haken erst mal weg bis der Rest funktioniert.


    SPF und DKIM sollte so wie bei dir eingetragen eigentlich funktionieren. Hast du dir mal selbst an eine externe Adresse eine Mail geschickt und reingeschaut, ob da tatsächlich keine DKIM-Signatur drin ist? Als SMTP-Server im Mailclient auch besser immer den netcup-Namen des SMTP-Servers benutzen als "mail.inklusivdomain.de". Ich habe es gerade mal mit einer Mailadresse einer Inklusivdomain eines netcup Webhostings probiert und der von dir verlinkte Learn DMARC Validator war zwar etwas ungeduldig, hat aber die DKIM-Signatur gefunden und akzeptiert, ebenso wie SPF.


    DMARC hatte ich nicht konfiguriert, er hat es für mich simuliert und rausgefunden, dass die Prüfung bestanden werden würde.


    Bei meiner getesteten Doman ist DNSSEC nicht aktiviert. Ich aktiviere es in dem Fall nicht, weil ich die Mailadresse tatsächlich verwende ;) und nicht riskieren will, dass sie deswegen nicht funktioniert. Gleichzeitig ist sie mir aber nicht wichtig genug, dass ich andere Nameserver verwenden würde um DNSSEC stabil am laufen zu haben. Ich hatte aber auch schon Mailadressen hier mit DNSSEC am laufen, mit allen Einstellungen aus deiner Liste außer DANE. Das gibt dann beim EU Tester trotzdem einen perfekten Score, weil DNSSEC + MTA-STS im Großen und Ganzen dazu äquivalent sind, je nachdem wie paranoid man ist.


    DANE und MTS-STS musst du bei Bedarf selbst richtig konfigurieren. MTA-STS ist zwar nicht komplett trivial, aber auch kein Hexenwerk und muss dann auch nicht mehr zwingend aktualisiert werden. DANE war mir wahlweise zuviel Aufwand oder zu riskant, weil nach der automatischen Zertifikatserneuerung die entsprechenden DNS-Einträge geändert werden müssen. Automatisiert per API war mir zu aufwändig, weil ich damit noch nie was gemacht habe. Oder eben manuell -> aber das kann man auch mal vergessen, was dann unnötige Probleme verursachen würde, worauf ich verzichten kann. Also habe ich auf DNSSEC und MTA-STS gesetzt. Aber leider musste ich irgendwann lernen, dass auf DNSSEC kein 100%-iger Verlass ist, s.o.

    Deshalb verzichte ich darauf, wenn ich sicher sein will, Mails wenigstens zuverlässig empfangen zu können. Und die Domains, mit denen ich ernsthaft Mails erfolgreich versenden will, haben ihre Nameserver derzeit woanders. Und wenn ich sicher sein will, dass sie auch angenommen werden, dann schicke ich sie mit dem SMTP-Server der Berliner Mailbox von P. Heinlein. ;)


    An der DNSSEC-Baustelle wird seitens netcup gearbeitet und auch an der Zustellbarkeit der Mails von den netcup SMTP-Servern, die naturgemäß gelegentlich mal auf Blocklisten auftauchen, weil der eine oder andere Kunde vielleicht ein wenig zu blauäugig an Dinge wie Newsletter herangeht. Was für den Einen ein hochinteressanter und informativer Newsletter ist, ist für den Anderen gelegentlich trotzdem auch mal Spam. Schriftliche Zustimmung oder Double Opt-In der Empfänger hin oder her. Ich bin überzeugt, irgendwann (hoffentlich bald) wird es sicher Lösungen geben. Aber bis dahin bleibe ich Realist genug, mich nötigenfalls um Workarounds zu kümmern, die schon jetzt funktionieren und nicht erst irgendwann.


    Die ganzen technischen Dinge wie DNSSEC, MTA-STS, DANE und sogar auch DMARC sind für die Mailzustellung zu Microsoft, Google und Konsorten derzeit m.E. übrigens nicht mal ein Zehntel so wichtig wie die simple gute Reputation des SMTP-Servers. Und um die zu haben braucht der das alles nicht unbedingt. Er muss nur über einen längeren Zeitraum eine große Menge Mails mit niedriger Spamrate ausliefern bw ausgeliefert haben. Das mag sich aber künftig irgendwann ändern, schon deswegen schadet es auch sicher nicht, sich bereits jetzt um diese Dinge zu kümmern.

    Danke "tab" für diese wunderbare Antwort - ich werde deine Ratschläge ausprobieren und berichten. Leider sind diese E-Mails, für Support und Nachrichten des Backends, sehr heikel und ich muss DE-regulatorisch für die Sicherheit sorgen.

    Wenn es an DNSSEC oder sonstwie an DNS hängt, würde ich darüber nachdenken, die Nameserver der Domain auf deSEC auszulagern. Zumindest bis die diesbezüglichen Probleme bei netcup vom Tisch sind. Dein nächstes Problem wird dann eventuell die Zustellbarkeit oder das Mail-Limit sein. Hier kann es helfen,denSMTP-Server eines Massenversenders oder eben die Mailbox aus Berlin zu verlagern. Kostet dort natürlich was, ich zahle 2,50€/Monat was aber für offenbar so heikle Dinge nicht überzahlt ist.


    Ich lasse da ca 10-15 Mailaccounts drüber laufen, teils nutze ich dabei auch nur den SMTP-Server und habe die Postfächer im Webhosting gelassen oder auf einem Server untergebracht, weil ich eben nur eine Mailbox habe und es halt doch etwas unbequemer finde, die eingehenden Mails per Filter auf adressspezifische Ordner umzuleiten. So hat dann doch jede Adresse ihr eigenes Postfach, aber der Mailversand ist eben unproblematisch. Mailempfang (MX) auf netcup Mailserver geht in der Regel völlig problemlos und ist auch nicht limitiert.

    Update zu DKIM, also wenn ich aus Apple-mail versende, mit dem im CCP angegebenen mailserver (SMTP(S)- / IMAP(S)- / POP3(S)-Server) wird kein DKIM Schlüssel drangehängt und FAILED.


    Authentication-Results:mors-relay-8404.netcup.net; dkim=permerror (bad message/signature format)


    Unser AWS Backend kann aber auch nur den angegebenen Mailserver verwenden.


    Bei versenden aus Webmail passt es aber.

    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=inklusivdomain.de;

    s=key2; t=1700497608;

    bh=ZWfiGTmh6kus/YWWwSYzbwIPOsmGWPc3Hp4Wy3zfxFI=;

    h=Date:From:To:Subject:From;

    b=XXXXXXXXUSW==


    Anderer Forum-thread - leider ohne Lösung.