Beiträge von tab

Die DNS-Zonen einer externen Domain müssen auch extern gesetzt werden. Die Nameserver siehst du ja, da wo die hingehören, wird es vermutlich ein User-Interface (Zonen-Editor) für die DNS-Einträge geben. Im CCP können die DNS-Einträge erst eingegeben/bearbeitet werden, wenn die Domain auch zu netcup umgezogen ist. Vorher sind die netcup-Nameserver nicht dafür zuständig. Ich würde ja derzeit raten, externe Nameserver zu benutzen, z.B. deSEC, Cloudflare, ... Derzeit gibt es bei netcup gelegentlich ein paar Problemchen mit den Nameservern, so dass ich bei wichtigen Domains möglichst wenig mit ihnen zu tun haben will.

Wenn ich mal von deSEC Nameservern (kostenlos nutzbar) ausgehe, was ich gerne nutze und auch empfehle, dann kannst du dich dort einfach registrieren, eine Zone für deine Domain anlegen und in aller Ruhe die DNS-Einträge machen, die netcup fordert für externe Domains. Wenn das fertig ist, kannst du bei deinem bisherigen Anbieter die deSEC Nameserver benutzen, falls der die Möglichkeit dazu bietet. Dann müssen beim Domain-Umzug zu netcup nur noch die DNS-Server von deSEC angegeben werden. Das nimmt dann den Zeitdruck etwas raus beim Umzug und ist eben derzeit auch zuverlässiger, vor allem wenn du DNSSEC benutzen möchtest.

Ob es allerdings problemlos klappen wird, die externe Domain zu netcup umzuziehen, ohne die Daten zu verlieren, das weiss ich nicht. Denke aber, es könnte klappen, wenn man die externe Domain vor dem Umzug im CCP löscht. Ich habe jedenfalls mal eine externe Domain gelöscht, weil ich sie bei netcup nicht mehr brauchte. Monate später waren Mailboxen und Websites der Domain immer noch nicht gelöscht. Insofern bin ich da relativ zuversichtlich, auch wenn Plesk das beim Löschen der externen Domain anders androht. Garantie kann ich dir dafür aber keine geben. Es könnte natürlich auch sein, dass beim Umzug der Domain zu netcup dann nicht die vorhandenen Daten benutzt werden, sondern alles auf Null gesetzt wird. Vielleicht hat ja sonst jemand hier Erfahrungen damit.

Edit: Sehe gerade, die Domain ist schon als Inklusivdomain im Webhosting. Könnte mir vorstellen, dass unter diesen Umständen die temporäre Einbindung als externe Domain gar nicht mehr möglich ist. Aber: Versuch macht kluch.

Zitat von Telly

Danke Dir tab! Bez. TTL: ja, generell kenne ich den Wert in Bezug auf DNS, mich hat nur gewundert, dass mein Mailhost (mailbox.org) in diesem speziellen Fall für den DMARC TXT Record eine geringe TTL empfiehlt - siehe Screenshot anbei. Gibt es dazu irgendeinen besonderen Grund?

Zur Policy noch mal eine generelle Verständnisfrage: wenn ich keine Reports erhalte, kann ich davon ausgehen, dass meine Maildomain schlicht nicht "misbraucht" wird und mehr oder weniger sauber ist?

Ich würde dann demnächst die Policy umstellen auf:

v=DMARC1; p=reject; fo=1; rua=mailto:dmarc@mydomain.com

Letzte Frage dazu: ist es sinnvoll mittels "fo=1" das Kriterium etwas strikter zu machen (bei 1 reicht es aus wenn SPF oder DKIM bei der Überprüfung fehlschlägt, bei 0 muss SPF und DKIM fehlschlagen)?

Ich kann den Impact wie gesagt mangels Erfahrung nicht abschätzen...

Alles anzeigen

Ich nehme an, die empfehlen die kurze TTL, damit man nötigenfalls schneller den Eintrag ändern kann. Man könnte ja im Falle von häufiger vorkommenden Missbräuchen z.B. auch "forensische Reports" anfordern wollen. Oder speziell zu Beginn, die eigenen Mails kommen nicht mehr an. Dann ist man froh, nur eine kurze TTL eingestellt zu haben.

Grundsätzlich kannst du zwar nie sicher sein, dass deine Domain nicht missbraucht wird, weil eben nicht jeder Mailserver Reports schickt. Von Microsoft bekomme ich grundsätzlich immer Reports, wenn ich eine oder mehrere Mails an eine Micosoft-Adresse verschickt habe. Auch wenn es wie bei meinen Mails keine Schwierigkeiten gegeben hat. Das sieht dann (auszugsweise) so aus:

<policy_published>
<domain>meine-absenderdomain.de</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
<fo>0</fo>
</policy_published>
<record>
<row>
<source_ip><IP meines sendenden Mailservers></source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<envelope_to>outlook.de</envelope_to>
<envelope_from>meine-absenderdomain.de</envelope_from>
<header_from>meine-absenderdomain.de</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>meine-absenderdomain.de</domain>
<selector>default</selector>
<result>pass</result>
</dkim>
<spf>
<domain>meine-absenderdomain.de</domain>
<scope>mfrom</scope>
<result>pass</result>
</spf>
</auth_results>
</record>

Deswegen empfehle ich das ja zum Testen. Die Reports kommen aber schon zeitversetzt, meist ca. zwei Tage nach Versand einer Mail. Wenn du also eine Mail dahin geschickt hast und es kommt nach ein paar Tagen kein Report von Microsoft, dann läuft was schief.

Wenn du vorhast, irgendwann eine Adresse der Domain woanders hin weiterzuleiten, dann empfiehlt sich fo=0. Weil bei Weiterleitungen in der Regel entweder DKIM oder SPF fehlschlägt. Ist fo=0 gesetzt, ist das kein großes Problem. Bei fo=1 dagegen schon, weil das dann alle weitergeleiteten Mails betreffen würde.

Zitat von Telly

Ich habe den DMARC Einträg gestern gesetzt und erstmal folgende Policy verwendet:

v=DMARC1; p=none; fo=1; rua=mailto:dmarc@mydomain.com;

Bisher kam noch nichts rein auf die Mail. 2 Fragen noch weitergehend:

1. mailbox.org empfiehlt eine relativ niedrige TTL für den DMARC TXT Record (ca. 5 Minuten). Wenn ich keine Änderungen an dem Eintrag längerfristig plane vorzunehmen, wieso die kurze TTL? Habt ihr die TTL bei Eurem Registrar auf “Automatik” gelassen?
2. Ich habe heute mal ein paar DMARC Checker auf meine Domain geprüft. Was mich etwas wundert ist, dass zwar kommt, dass ein valider DMARC Eintrag vorliegt, aber gleichzeitig die Meldung erscheint:

"Your domain has a valid DMARC record but the DMARC policy does not prevent abuse of your domain by phishers and spammers."

Ist das auf die “p=none” Policy zurückzuführen? Sollten keinerlei Reports an die DMARC-EMail kommen, macht es dann Sinn auf "quarantine" oder "reject" zu wechseln? Irgendwelche Empfehlungen diesbezüglich?

Noch mal Danke für Eure Hilfe!

Alles anzeigen

Schick mal was an Microsoft-Adressen (outlook.de, outlook.com etc) oder gmail-Adressen. Da sind Mailserver, die auch Protokolle liefern. Das zu tun ist ja für den empfangenden Mailserver keine Verpflichtung, viele tun es nicht. Die TTL bestimmt eben, wie schnell eventuelle Änderungen von anderen Nameservern weltweit übernommen werden. Ich nehme meist etwa eine Stunde. Bei deSEC werden die aber von öffentlichen Resolver von Google/Cloudflare etc trotzdem schneller aktualisiert.

Ja, die Meldung liegt an "p=none". Damit wird ja die Auslieferung von gefälschten Mails nicht unterbunden. Damit schaust du dir derzeit nur durch die Protokolle an, was so alles passiert. Also ob deine eigenen Mails von deiner Domain die Tests bestehen und wer sonst noch so alles mit deiner Domain sendet. Zu letzterem ist bisher meine Erfahrung, dass ich Meldungen über unberechtigte Mails nur von mail.ru bekomme. Letztens muss wohl ein Mailserver in Gambia eine Mail von einer meiner Domains an eine mail.ru Adresse geschickt haben, die dann als Spam ausgeliefert wurde(p=quarantine war ingestellt, aber viele Mailserver weisen auch dann nicht ab, wenn man p=reject verwendet).

Zitat von schlummerman

Ich habe auch eine lokale Version des MySQL Servers installiert, damit klappt es einwandfrei. Mein Code ist also Fehlerfrei

Der Code ist fehlerfrei, deshalb funktioniert er wohl auch nicht.

Naja, Benefit. Aber immerhin ist das eine IPv6, die ausschliesslich für Dein Webhosting gilt, wähend die IPv4 ja geshared ist.

Zitat von Antijurist

Kannst du das erläutern? Warum sollte ich das wollen? Weil es hier zu viele Ausfälle gibt?

Ja, wenn du DNSSEC aktivieren willst, dann wirst du mit den netcup Nameservern wahrscheinlich nicht glücklich werden. Gibt ja viel hierzu im Forum. Womit ich allerdings gut leben kann, weil ich die Nameserver von deSEC verwende für alle Domains, die zwingend auflösbar sein sollten. Und auch ohne DNSSEC gibt es diverse Fälle von Problemen.

Wenn du die Nameserver irgendwann vor dem Domainumzug wechselst, geht es vielleicht etwas flüssiger. Hinterher wirst du eh bald andere Nameserver nutzen wollen, die kann dann beim Unzug die selben bleiben.

Oh, da habe ich wohl einen Zombie gelöscht, der A Record der als externe Domain eingebundenen Subdomain verweist schon länger nicht mehr auf netcup.

Ah, ich ahne was du mit der Zuordnung meinst, das gibt es in der Form nur bei Zusatzdomains. Externe Domains kann man ja mittlerweile nur noch hinzufügen, wenn die DNS-Records halbwegs vollständig vorhanden sind wie gefordert. Und dann kann man sie eben, wie ich es gemacht habe, mit Klick auf das entsprechende Symbol löschen. Sie erscheint dann nicht mehr in der Liste der externen Domains und lässt sich auch nicht mehr im CCP auswählen in der Übersicht des Webhostings.

Zitat von aRaphael

Das befürchte ich auch.

Hast du die domain vor dem Löschen vom Webhosting gelöst? (Oder geht das bei externen domains gar nicht )

Ich glaube mich nämlich erinnern zu können, dass ich solche "vhost-Zombies" bei zusätzlichen domains immer dann hatte, wenn ich das vergessen hatte, vor der Kündigung.

Vom Webhosting gelöst? Was ist das denn? Kenne ich bisher nur von Datenbanken. Ich habe mir einfach angeschaut, was im Dokumentenstamm so an Dateien drin war (ein Roundcube) und dann einfach die externe Domain mit Klick auf das Papierkorb-Symbol gelöscht. Da kam dann noch die Meldung, das alles gelöscht wird. Es ist aber alles noch da, der Eintrag in Websites&Domains, die Datenbank, die Dateien, ...???

Probier es aus! Würde mich auch interessieren, habe mich aber bisher nicht getraut . Meine "Einschätzung ist, dass man die Domain nicht wird zu netcup in das selbe Hosting wird umziehen können, solange sie als externe Domain aktiv ist. In dem Fall müsste man sie dann erst löschen, was Plesk ja angeblich mit der Löschung von Daten quittiert. Was aber genau alles gelöscht wird ist mir nach wie vor unklar. Die Dateien wohl nicht, solange mindestens eine andere (Sub-)Domain den selben Dokumentenstamm hat. Die Datenbanken auch nicht, zumindest wenn man die Zuordnung zu einer Website aufhebt.

So, habe gerade mal ein wenig aufgeräumt mit den externen Domains in meiner EiWoMiSau, bisher sind die Dateien und Einstellungen einer gelöschten externen Domain noch da Auch wenn man sie vom CCP aus nicht mehr auswählen kann, ist im Plesk unter Websites & Domains der Eintrag noch da und auch die Dateien. Vielleicht dauert es ja aber ein wenig, also erst mal eine Weile warten .

Ich denke mal, wenn domain2.de eine permanente Weiterleitung ist, dann schadet sie wenigstens nicht. Ansonsten eventuell schon. Förderlich kann sie sein, wenn sie die URL verkürzt und leichter merkbar macht. Aber das hat dann weniger mit Google zu tun, eher mit dem menschlichen Gehirn.

Vielleicht hilft ja das: https://support.plesk.com/hc/e…uire-a-PHP-version-7-4-0-

Das muss wahrscheinlich mit composer installiert werden, habe es mir aber noch nicht angesehen.. Composer selbst kannst du auch nur lokal installieren. Notfalls einfach nur die composer.phar von getcomposer.org runterladen, ins Installationsverzeichnis (oberhalb von public, darin müsste dann wohl auch eine composer.json liegen) legen und sicherheitshalber in composer.phar.php umbenennen. Dann kannst im Installationsverzeichnis mit

php composer.phar.php install

die Software installieren.

Und ja, der Dokumentenstamm muss das public-Verzeichnis sein. Gleichzeitig musst du bei den PHP-Einstellungen open_basedir auf die zweite Variante setzen (nicht default), sondern die mit WEBSPACEROOT. Sonst kann oberhalb von public nichts installiert werden.

https://learn.microsoft.com/en-us/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365-or-office-365#option-3-configure-a-connector-to-send-mail-using-microsoft-365-or-office-365-smtp-relay

So wie ich das lese, fehlt die Authentifizierung für das Mailkonto oder ist falsch, bzw nicht so, wie sie MS gern hätte. Habe da noch was im Hinterkopf, dass das bei Office 365 anders aussieht als bei einem "normalen" Mailserver. Wäre ja auch das erste Mal, dass etwas bei MS so funktioniert wie anderswo. Müsste ich aber erst schauen, ob ich die Quelle noch finde.

Zitat von aRaphael

ich denke da anlassbezogen eher an "ichmachmirjetzteinkuehlesbierauf.de"

Die wäre sogar noch frei.

Zitat von Bud

Puh... Zum Glück! Ich hatte schon Angst es gibt wieder günstige .de-Domains die hier eh niemand haben will...

Du meinst sicher sowas wie "netcupforum.de", "netcupchat.de", oder "netcuptalk.de"

Zitat von stefanh

Danke für die Links. Die bestätigen mein Verständnis: wenn Sender A eine Mail schickt an verteiler@meine-netcup-domain, und die leitet weiter an Empfänger B, dann spielt sich die Zustellbarkeit der Mail nur zwischen Sender A und Empfänger B ab, und ich habe mit meinen netcup-Einstellungen keinen Einfluß darauf. Wenn also A nur spf macht, aber kein DKIM, und B streng bei der spf-Prüfung ist, kommt die Mail halt nicht an, und ich kann da nichts machen. Richtig?

Die Empfehlung ist dann, keine Weiterleitungen zu benutzen, sondern echte Postfächer. Ist in unserem Fall keine Option, wie weiter oben beschrieben, d.h. ich muß wohl mit der Nichtzustellbarkeit in solchen Fällen wie oben leben. Das muß ja aber bei unserem vorigen Hoster dasselbe Problem gewesen sein; ich habe da leider keine Statistiken darüber.

Wie machen das übrigens die großen majordomo-Server, kernel.org und so? Die müssen doch die gleichen Probleme haben.

Die Zustellbarkeit spielt sich nicht nur zwischen Absender A und Empfänger B ab, auch der (letzte) weiterleitende Server ist involviert und seine IP wird bei der SPF-Prüfung überprüft. Bei einer Weiterleitung wird das dazu führen, dass die SPF-Prüfung fehlschlägt, wie du ja bereits geschrieben hast. Was dann mit der Mail passiert, kannst du mit DMARC beeinflussen, aber letztlich entscheidet eben doch der empfangende Server. Richtig, daran kannst Du nichts machen, da du in der Regel keinen Zugriff auf den Mailserver von A und B hast und auch nicht auf die DNS-Einstellungen der Absenderdomain. Und ja, dieses Problem sollte auch der Hoster aus Montabaur nicht vermeiden können, ebenso wenig die großen Majordomo-Server.

Aber das sind eben nur die rein formalen technischen Dinge. Ablehnungsgründe wie die E-Mail Reputation des letztlich die Mail abliefernden Servers können sich aber sehr wohl unterscheiden. Hier hat Montabaur eben die Nase gegenüber netcup meist deutlich vorn, schon allein deshalb, weil sie deutlich mehr Mails verschicken. Mehr Mails bei gleichem Spam-Anteil sind hier von Vorteil. Auch wird man sich seitens eines Mailanbieters schon eher überlegen, ob man tatsächlich Montabaur auf die Blockliste setzen will, als man das bei einem kleineren Hoster wie netcup tun wird. Außerdem ist da noch die Frage der Bezahlung für die Zustellung von Massenmails, wie sie Felix Preuß im verlinkten Thread geschildert hat. Auch da tut man sich leichter, von netcup und anderen "kleineren" Anbietern Geld dafür zu wollen als bei dem doch sehr großen Anbieter aus Montabaur, der dann ja im Gegenzug eher noch mehr Geld für die Zustellung von Massenmails des anderen Hosters verlangen könnte oder diese Massenmails anderfalls ablehnen könnte. Was dann wiederum zu Ärger mit den eigenen Kunden führen könnte, deren Mails zu einem beträchtlichen Teil dann halt auch nicht zugestellt würden. Size matters ...

Zitat von stefanh

Das ist im Prinzip schon klar, aber nicht das Problem (glaube ich jedenfalls). Das würde ja nur Mails betreffen, die bei netcup eingeliefert werden. Das passiert bei uns nur sehr wenig, wir haben nur zwei echte Postfächer hier, über die gelegentlich Mails verschickt werden. Deren DKIM-Header sind ok, zumindest laut https://www.mail-tester.com/.

Das Problem sind Mails, die an unsere netcup-Verteiler geschickt werden, also über die jeweiligen SMTP-Server der Mitglieder, wo immer sie ihre Accounts haben. Ich meine, ich hätte dabei mal einen Fall gesehen, wo einer der Empfänger (icloud scheint da strenger zu sein als andere) eine Mail abgeleht hat, die von Yahoo ausging und über einen netcup-Verteiler lief. Das kann dann ja eigentlich nur daran liegen, daß beim Transport der Body verändert wurde? Vielleicht habe ich mich aber auch verguckt, ich kann die Mail leider gerade nicht wiederfinden. Aber wie gesagt, erst mal nicht das vordringliche Problem.

Ja, Weiterleitungen sind heutzutage grundsätzlich problematisch, hatten wir hier schon oft. Leute lassen sich ihre Mails an netcup schicken und leiten sie an ihr eigentliches Mailkonto weiter - und wundern sich dann, dass sie teilweise nicht ankommen. Das Problem ist, man hat in der Regel weder die Absenderdomain noch den letztendlich empfangenden Mailserver unter Kontrolle. In dem Fall wird die Mail ein Problem mit entweder SPF oder DKIM haben, je nachdem, was der netcup Mailserver bei der Weiterleitung mit der Mail macht. Mit der passenden DMARC-Einstellung lassen sich die Folgen aber minimieren.

Das vordringliche Problem mag das nicht sein, die - hoffentlich wenigen - betroffenen Empfänger müssen dann halt ein nicht ganz so kritisches Postfach nutzen. Das Mail-Limit und die "ganz normalen" Zustellprobleme werden die Hauptprobleme sein. Schau Dir mal die Beiträge von Bud, über die wir nicht mehr sprechen wollten , von vor einiger Zeit zum selben Thema an. Um die relativ häufigen Zustellprobleme der netcup-Mailserver z.B. bei MS-Mailadressen, aber auch bei anderen Anbietern, wirst Du aber sowieso schwerlich zuverlässig herumkommen. Da wirst Du sowieso einen anderen SMTP-Server benutzen müssen.