Eigene Maildomäne

Anlass

Eine bereits jahrelang betriebene Mailbox konnte von einem bestimmten Absender keine Mails mehr empfangen (von allen anderen schon). Ein Studium der Fehlermeldungen hat ergeben, dass ein Mailer verlangt, dass ein so genannter “SFP-Record” fehlt und daher die Mail nicht angenommen wird.

Dieser Beitrag richtet sich an alle Mitglieder, die auf unseren Servern eine eigene Domäne hosten (z.B. iam.at) und Postfächer auf dieser Domäne eingerichtet haben. Es könnte für die Abwehr von Spam von Vorteil sein, einen optionalen Datensatz in der Verwaltung der Domäne einzufügen, der den Missbrauch erschwert.

Aber auch für Interessierte, die sehen wollen, wie der Mailverkehr über DNS gesteuert wird, sind diese Zeilen von Interesse.

Alle Mitglieder, die ihre Club-ID als Mailbox benutzen (z.B. tom.test@clubcomputer.at) sind von diesen Hinweisen nicht betroffen, weil die hier vorgeschlagenen Änderungen auf der Domäne clubcomputer.at ohnehin durchgeführt worden sind.

Domänenverwaltung

Wenn bei ClubComputer eine Domäne zur Verwaltung eingetragen wird, legt das System einige Datensätze an, die den korrekten Betrieb der Domäne gewährleisten, das heißt, dass für jede Anfrage eines Namens eine IP-Adresse eines unserer Server zurück geliefert wird.

Das folgende Bild zeigt die DN-Datensätze für die Domäne iam.at. Die Werte sind die Grundeinstellung einer solchen Domäne.

Diese Datensätze werden über das WebSitePanel https://panel.ccc.at -> Domänen -> iam.at verwaltet.

A-Record

Die A-Datensätze geben die IP an für den Aufruf des Domänennamens iam.at, www.iam.at, mail.iam.at und *.iam.at an. Der Datensatz A pv-hainfeld.iam.at ist bereits eine Ergänzung, die nach der Ersteinrichtung der Domäne vorgenommen wurde. In diesem Beispiel der Domäne iam.at sind alle so definierten Domänen wie www.iam.at und pv-hainfeld.iam.at auf demselben Server 194.50.115.163, sie könnten sich jedoch auch in einem beliebigen anderen Netz befinden.

CNAME-Record

Ein CNAME-Record definiert einen Alias, eine alternative Schreibweise. Im Bildbeispiel wird ftp.iam.at dem Wert ftp.ccc.at gleichgesetzt.

MX-Record

Die MX-Datensätze beschreiben die verfügbaren Mailserver und mit einer Zusatzzahl auch die Priorität. Die kleinste Zahl kennzeichnet den Default-Mail-Server.

NS-Record

Der NS-Record verweist auf die drei Domain-Name-Server. Diese Redundanz sichert eventuelle Ausfälle ab.

An diesen Voreinstellungen einer Domäne muss normalerweise nichts geändert werden. Nur bei verteilten Systemen, wenn also Web-Inhalte (A-Record) oder Mail-Server (MX-Record) anderswo gehostet werden wären hier Änderungen/Ergänzungen nötig.)

TXT-Record

Es besteht auch die Möglichkeit, Records als beliebige Text-Schnipsel anzulegen, Das wird zum Beispiel dazu benutzt, um einem externen Dienst zu beweisen, dass man selbst Eigentümer einer Domäne ist. Man bekommt dazu vom Dienst den Auftrag, einen solchen TXT-Record mit einem ganz bestimmten Wert einzutragen. Dieser Wert kann verifiziert werden und damit die gewünschte Funktion autorisiert werden.

Spam-Vermeidung

Wenn ein Server eine Mail versenden soll, kommt es zu einem Dialog zwischen dem Sender und dem Server mit den üblichen Angaben wie eben Absenderadresse, Empfängeradresse, Betreff, Text, Anhang. Es ist nun keine große Schwierigkeit die Absenderadresse mit irgendeinem Wert zu belegen, es ist ja nur ein Text. Ein Spammer könnte daher Deine Adresse missbrauchen und eine Deiner E-Mail-Adressen als Absenderadresse verwenden. Dann werden sehr viele (Spam-)Mails unter Deinem Namen versendet,.

Damit sich ein Empfänger oder zum Beispiel ein Anti-Spam-Programm davon überzeugen kann, dass die Mail auch von einem autorisierten Mailserver kommt, hat man sich das Verfahren SPF ausgedacht, um das überprüfen zu können:

SPF (Sender Policy Framework)

Ein SPF-Record ist Text, der im DN-Server einer Domäne gespeichert ist (so wie die A- und MX-Records auch). In diesem Text wird spezifiziert, welche Mailserver zum Versand für diese Domäne zugelassen sind.

Wenn eine Mail versendet wird, geschieht dies mit einer Absenderangabe, zum Beispiel test@iam.at. In der Domäne iam.at ist ein Datensatz gespeichert, der angibt, von welchen Mailservern Mails für diese Domäne versendet werden dürfen. Es sind die Server mail=194.50.115.163 und mail1=194.50.115.226.

Der Empfänger einer Mail überprüft nun, in der Domäne der Absenderadresse, ob der Server zum Versand berechtigt ist und kann widrigenfalls die Mail verwerfen.

Wenn also jemand versucht, eine Mail mit einer Absenderadresse zu versenden, die nicht mit den Angaben im SPF-Record überstimmt, kann der Empfänger diese Mails automatisch verwerfen.

SPF-Record

Der SPF-Record ist ein namenloser Text. In einer Domäne, die ihre Mails über die Mailserver von ClubComputer/ccc.at verarbeitet, soll man in diesem Record eintragen:

v=spf1 ip4:194.50.115.0/23 -all

Das kann man auch im Bild oben in der untersten Zeile ablesen.

Die Schreibweise der IP-Adresse als 194.50.115.0/23 ist eine Kurzschreibweise für 194.50.115.0 255.255.254.0. Man erspart bei dieser Schreibweise die ziemlich redundante Netzwerkmaske. Die Zahl 23 gibt die Anzahl der Einsen der Netzwerkmaske an. 255.255.254.0 = 11111111.11111111.11111110.00000000.

Durch die Angabe eines Bereichs von Netzwerkadressen ist ccc.at frei in der Zuordnung der IP-Adressen zu Mail-Servern.. Allen IP-Adressen von 194.50.114.1 bis 194.50.115.254 ist es erlaubt, im Auftrag von iam.at Mails zu versenden.

Tipp

Betreiber einer eigenen Domäne können also in ihrer Domänenverwaltung diesen TXT-Record eintragen, damit die Teilnehmer im Mailverkehr prüfen können, ob der Versand von einem dazu autorisierten Server erfolgt.