Zum Hauptinhalt springen

Mailversand

E-Mail-relevante DNS-Einträge sorgen dafür, dass Mailserver korrekt gefunden werden und deine Domain nicht als Spam-Absender eingestuft wird. Die wichtigsten Bausteine sind MX, SPF, DKIM und DMARC, die gemeinsam Zustellung und Authentizität von E-Mails steuern.

Überblick: MX, SPF, DKIM, DMARC

  • MX-Record: Zeigt, welche Mailserver E-Mails für deine Domain annehmen dürfen (Wegweiser für eingehende Mails)
  • SPF (als TXT): Legt fest, welche Server E-Mails im Namen deiner Domain senden dürfen
  • DKIM (als TXT): Hinterlegt den öffentlichen Schlüssel, mit dem Empfänger die Signatur deiner E-Mails prüfen können
  • DMARC (als TXT): Definiert, was Empfänger mit E-Mails tun sollen, die SPF/DKIM nicht bestehen (z.B. nur melden oder ablehnen).

MX-Records für E-Mail-Zustellung

  • MX-Einträge sind spezielle DNS-Records, die für eine Domain auf einen oder mehrere Mailserver zeigen und eine Priorität (Präferenz) haben, z.B. 10, 20.
  • E-Mail-Server lesen zuerst MX-Records der Empfänger-Domain und stellen dann an den Server mit der niedrigsten Prioritätszahl zu.

Beispiel-MX-Einträge:

  • example.com. 3600 IN MX 10 mail.example.com.
  • example.com. 3600 IN MX 20 backupmail.example.com.

Diese MX-Records sagen: Haupt-Mailserver ist mail.example.com, Fallback ist backupmail.example.com.

SPF: Wer darf E-Mails senden?

  • SPF (Sender Policy Framework) ist als TXT-Record in der DNS-Zone der Domain hinterlegt und listet zulässige Mailserver oder IPs.
  • Empfänger prüfen, ob der sendende Server im SPF-Eintrag der Absenderdomain erlaubt ist; bei Verstoß kann die Mail abgelehnt oder markiert werden.

Typische SPF-Beispiele:

  • Nur eigener Server (IPv4):
    example.com. 3600 IN TXT "v=spf1 ip4:203.0.113.10 -all"

  • Eigener Server + externer Dienst (z.B. Newsletter):
    example.com. 3600 IN TXT "v=spf1 ip4:203.0.113.10 include:_spf.mailprovider.tld -all"

  • v=spf1 kennzeichnet SPF-Version, ip4: bzw. ip6: erlauben IPs, include: bindet fremde SPF-Records ein, -all bedeutet, dass alle anderen nicht erlaubt sind.

DKIM: Signierte E-Mails

  • DKIM (DomainKeys Identified Mail) signiert jede ausgehende E-Mail kryptografisch. Der öffentliche Schlüssel liegt als TXT-Record im DNS.
  • Der TXT-Record steht unter einem speziellen Hostnamen, der aus Selektor und _domainkey besteht, z.B. mail._domainkey.example.com.

Beispiel-DKIM-Record:

  • mail._domainkey.example.com. 3600 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUA...AB"

  • v=DKIM1 ist die Version, k=rsa der Schlüsseltyp, p= enthält den öffentlichen Schlüssel (Base64-enkodiert).

  • Der ausgehende Mailserver signiert mit dem privaten Schlüssel; Empfänger nutzen den im DNS verfügbaren öffentlichen Schlüssel zum Verifizieren.

DMARC: Richtlinie für fehlgeschlagene Authentifizierung

  • DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf und definiert, wie Empfänger bei Fehlern reagieren sollen.
  • Der DMARC-Eintrag liegt im TXT-Record unter _dmarc.example.com und enthält u.a. die Policy (p=) und Reporting-Adressen (rua, ruf).

Beispiel-DMARC-Records:

  • Nur Monitoring (keine Ablehnung):
    _dmarc.example.com. 3600 IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com"

  • Strenge Ablehnung bei Fehlern:
    _dmarc.example.com. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; adkim=s; aspf=s"

  • p=none/quarantine/reject legt fest, ob Mails nur geloggt, in Quarantäne verschoben oder abgelehnt werden sollen.

DKIM in Plesk:

  • Unter Domains → Domain auswählen → E-Mail-Einstellungen → DKIM-Spamschutzsystem verwenden, anschließend in „DNS-Einstellungen“ die generierten *.domainkey-TXT-Einträge prüfen und im DNS hinterlegen.