Welche DNS-Einträge sind beim Mailserver wichtig?
Welche DNS-Einträge sind beim Mailserver wichtig?
E-Mail-Spam durch Domain-Spoofing ist in den letzten Jahren aus dem Ruder gelaufen. Verschiedene DNS-Einträge beim Mailserver dienen der Authentifizierung und kämpfen gegen Fälschungen an. SPF- oder DKIM-Einträge dienen der Validierung mittels IP-Adresse bzw. digitaler Signatur. Weitere DNS Records, darunter TXT, MX und CNAME, sind Standard jeder Konfiguration. DMAC kann zusätzlichen Authentifizierungsschutz bieten.
Schutz gegen Spam und Cyberattacken
Sicherheit durch Authentifizierung zählt zu den zentralen Themen der E-Mail-Gegenwart. Domain-Spoofing, also das Versenden von Mails mit gefälschtem Absender, stachelt die Cyberkriminalität seit geraumer Zeit an. Deswegen verlangen mehr und mehr Anbieter entsprechende DNS-Einträge am Mailserver, um deren Richtigkeit und Gültigkeit ermitteln zu können. Sie können missbräuchliche Dienstnutzungen zumindest stark unterbinden und in weiterer Folge Spam die Stirn bieten.
SPF oder DKIM?
Die beiden wichtigsten DNS-Einträge zur Verifizierung des Mailservers sind SPF und DKIM. SPF steht für „Sender Policy Framework“ und validiert eine Mail anhand der IP-Adresse des übermittelnden Mailservers. Über diesen Entry werden alle Systeme aufgelistet, die zum Nachrichtenversand berechtigt sind. Dies können eben IP-Adressen, FQDNs oder Verweise auf weitere SPF-Records sein. DKIM („Domain Keys Identified Mail“) arbeitet hingegen mit einer digitalen Signatur anhand eines asymmetrischen Schlüsselpaares. Das schützt nicht nur die Herkunft, sondern auch die Nachricht, selbst bei Weiterleitungen. Allerdings unterstützen nicht alle Produkte aktuell DKIM.
Weitere wichtige DNS-Einträge im Überblick
Das Arbeiten mit SPF oder DKIM sollte sich nunmehr zum Standard entwickeln. Die DNS-Zone am Mailserver kennt jedoch noch einige weitere Einträge, die entscheidende Schritte in der Konfiguration erfüllen und unbedingt umgesetzt werden sollten. Dazu zählen:
- TXT: Die Grundlage für SPF- und DKM-Einträge liegt im TXT Resource Record. Dieser erlaubt das Ablegen eines frei definierten Textes in einer DNS-Zone. Für Google zählten TXT-Einträge zu den Identifizierungsmöglichkeiten von Domain-Inhabern.
- MX: Mit dem Mail Exchange Resource Record werden ausschließlich Einträge vorgenommen, die sich auf den E-Mail-Dienst an sich beziehen. Hieraus lässt sich entnehmen, unter welcher Adresse der entsprechende Mailserver erreichbar ist.
- CNAME: Um von einem Hostnamen auf einen anderen zu verweisen, wird ein CNAME Resource Record herangezogen. So lassen sich beispielsweise dynamische IP-Adressen ansprechen. CNAME-Einträge können nicht nur HTTP, sondern auch FTP, POP, IMAP oder SMTP weiterleiten.
- DMARC: Neben SPF und DKIM kennt die Mailserver-Authentifizierung noch einen weiteren, ergänzenden Eintrag. DMARC steht für „Domain-based Message Authentication, Reporting and Conformance“ und versucht etwaige Unzulänglichkeiten beim Versand von E-Mails zu beheben. Über den DMARC-Eintrag lassen sich Empfehlungen für die Behandlung von irregulären E-Mails definieren, beispielsweise Quarantäne oder Verstoß-Meldung.