Jump to content

Webshop-Mails - SPF-Eintrag


Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen Zusammen,

 

ich hätte da mal eine (grundsätzliche) Frage, wie man im Best Practice sowas folgenden Sachverhalt löst:

(Für euch vermutlich eine sehr laienhafte Frage...)

 

Wir betreiben nun bald einen Webshop, welchen ein externer Dienstleister hostet.

Die Bestellbestätigungen welche von dort aus raus gehen, nennen sich dann im Alias z.B. webshop@firma123.de, die Mails von dort wandern dann in unser Postfach: bestelleingang@firma123.de.

Unser Mailserver ist ein On-Prem Exchange 2019.

Nun blockt das natürlich der SPF-Record.

 

Der Dienstleister möchte nun über SMTP lösen, sodass wir ein Postfach anlegen und ihm die Zugangsdaten dafür zukommen lassen sollen.

Mein Gedanke wäre das über den SPF-Record zu lösen, ich gebe eigentlich nur ungern Zugangsdaten raus.

 

Ich denke vernünftiger wäre mein Gedankengang?

 

Und wenn ja, wie passe ich dann den SPF dazu im optimalen Falle an?

Packe ich einfach eine ipv4 dazu oder löse ich das dann im besten Falle über include?

 

Vielen lieben Dank euch.

Link zu diesem Kommentar

Hi,

 

vor 12 Minuten schrieb jstar5588:

Und wenn ja, wie passe ich dann den SPF dazu im optimalen Falle an?

Packe ich einfach eine ipv4 dazu oder löse ich das dann im besten Falle über include?

das sollte dir der Dienstleister mitteilen können und hängt davon ab, wie er da seine Mailserver betreibt. Ggfs. reicht es da aus die ip4 und ggfs. ip6 vom Webshop in den SPF aufzunehmen.

 

Gruß

Jan

Link zu diesem Kommentar

Und wenn du schon dabei bist, kläre gleich korrekte dkim Signierung deiner Mails (vom Shop). Gibt genug Leute die in Shops Mailadressen angeben, die nur dafür genutzt Mails dann weiterzuleiten. Da bricht dann der spf record zwangsweise. Ich hab das oft genug den Kunden erklärt, deswegen erledige es gleich mit. ;)

vor 30 Minuten schrieb jstar5588:

Der Dienstleister möchte nun über SMTP lösen, sodass wir ein Postfach anlegen und ihm die Zugangsdaten dafür zukommen lassen sollen.

Das wollen die immer. Lehne ich auch immer ab. Ich geb doch da keine credentials im Webshop zum hinterlegen her, damit dann bei der nächsten Web sicherheitslücke Zugriff auf den Mailserver besteht. Im Zweifel kannst du sowas aber mit kleinen Geld mit entsprechenden Anbietern lösen. Www.postmarkapp.com wäre bspw. einer.

vor 33 Minuten schrieb jstar5588:

Unser Mailserver ist ein On-Prem Exchange 2019.

Nun blockt das natürlich der SPF-Record.

Und was ist mit dem Mailserver der Empfänger die was bestellen? Der is ja genauso wichtig. ;)

Link zu diesem Kommentar

Vielen Dank schonmal.

 

Freut mich dass da doch schonmal der richtige Gedankengang besteht :)

Dann erledige ich das also mit einer zusätzlichen ipv4 vom versendenen Mailserver.

 

vor 49 Minuten schrieb NorbertFe:

Und wenn du schon dabei bist, kläre gleich korrekte dkim Signierung deiner Mails (vom Shop). Gibt genug Leute die in Shops Mailadressen angeben, die nur dafür genutzt Mails dann weiterzuleiten. Da bricht dann der spf record zwangsweise. Ich hab das oft genug den Kunden erklärt, deswegen erledige es gleich mit. ;)

Oh, also doch noch ein weiterer Punkt. Wie setze ich das um?

Meine eigenen Mails werden ja per DKIM-Signer aufm Exchange signiert, Eintrag auf dem DNS hierfür besteht.

(Ich versuche das gerade gedanklich zu strukturieren, komm aber nicht wirklich dahinter...?

 

Viele Grüße,

 

Link zu diesem Kommentar
  • Beste Lösung
vor 15 Minuten schrieb jstar5588:

Oh, also doch noch ein weiterer Punkt. Wie setze ich das um?

Meine eigenen Mails werden ja per DKIM-Signer aufm Exchange signiert, Eintrag auf dem DNS hierfür besteht.

(Ich versuche das gerade gedanklich zu strukturieren, komm aber nicht wirklich dahinter...?

Jeder sendende Server (im Namen deiner Domain) kann einen eigenen DKIM Selector nutzen. Wo und wie das konfiguriert wird, hängt halt vom jeweiligen System ab. Als erstes müßtest du klären, ob der Webshop Server das kann (im Allgemeinen könnten das vermutlich alle, wenn sie es wollten). Wenn ja, dann müßt ihr euch nur noch auf einen Selector-Namen einigen bspw. webshop._domainkey.deinedomain.tld (webshop ist der Selector) und dir dann vom Betreiber den public Key geben lassen. Das packst du dann alles zusammen in den DNS Server.

Und damit du auch was siehst von dem Kram, solltest du auch gleich noch DMARC inklusive entsprechender Reportinglösung einsetzen. Gabs hier neulich ein paar "längere" Threads zu, die evtl. hilfreich sein dürften.

 

Bye

Norbert

 

Link zu diesem Kommentar

Danke für deine Hilfestellung.

 

SPF, DKIM und DMARC hab ich ja auf unserem DNS laufen, das sagt mir was.

rua und ruf entsprechend fürs Reporting auch gesetzt, kontrolliere da auch fleißig jeden Tag.

 

Ging mir jetzt nur noch ums verständliche bzgl. der externen Versandlösung.

Das heißt ich hätte dann ja zwei DKIM-Einträge auf dem DNS, einmal den meines In-House Mailservers mit damaligen festgelegten selector und einmal den neuen vom Webshop.

Da kommt sich dann auch nichts in die Quere oder wäre fehleranfällig?

 

Und dann sollte alles ohne Probleme funktionieren?

 

Viele Grüße,

 

Link zu diesem Kommentar
vor 5 Minuten schrieb jstar5588:

rua und ruf entsprechend fürs Reporting auch gesetzt, kontrolliere da auch fleißig jeden Tag.

 

Du liest dir manuell die xml Dateien durch, oder wie stelle ich mir das grad vor? :)

 

vor 6 Minuten schrieb jstar5588:

Das heißt ich hätte dann ja zwei DKIM-Einträge auf dem DNS, einmal den meines In-House Mailservers mit damaligen festgelegten selector und einmal den neuen vom Webshop.

 

Korrekt.

vor 6 Minuten schrieb jstar5588:

Da kommt sich dann auch nichts in die Quere oder wäre fehleranfällig?

 

Nein, ich hab hier bei uns inzwischen 11 Selectors. Der Vorteil ist, dass du bei Kompromittierung nur das jeweilige System berücksichtigen musst. Stell dir vor, du müßtest dann bei allen den private Key "mal schnell" rotieren. ;)

 

Bye

Norbert

Link zu diesem Kommentar
vor 29 Minuten schrieb NorbertFe:

Du liest dir manuell die xml Dateien durch, oder wie stelle ich mir das grad vor? :)

 

Steinige mich nicht, aber ja :)

(Die Organisation ist recht überschaubar und das Geld sitzt für andere Lösungen leider nicht ganz so locker....)

Es geht aber noch. Kostet mich ca.10 Minuten am Tag :)

 

Hast du ne Idee wie ichs effizienter gestalten kann?

 

Viele Grüße,

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...