Mailversand
E-Mail-relevante DNS-Einträge sorgen dafür, dass Mailserver korrekt gefunden werden und deine Domain nicht als Spam-Absender eingestuft wird. Die wichtigsten Bausteine sind MX, SPF, DKIM und DMARC, die gemeinsam Zustellung und Authentizität von E-Mails steuern.
Überblick: MX, SPF, DKIM, DMARC
- MX-Record: Zeigt, welche Mailserver E-Mails für deine Domain annehmen dürfen (Wegweiser für eingehende Mails)
- SPF (als TXT): Legt fest, welche Server E-Mails im Namen deiner Domain senden dürfen
- DKIM (als TXT): Hinterlegt den öffentlichen Schlüssel, mit dem Empfänger die Signatur deiner E-Mails prüfen können
- DMARC (als TXT): Definiert, was Empfänger mit E-Mails tun sollen, die SPF/DKIM nicht bestehen (z.B. nur melden oder ablehnen).
MX-Records für E-Mail-Zustellung
- MX-Einträge sind spezielle DNS-Records, die für eine Domain auf einen oder mehrere Mailserver zeigen und eine Priorität (Präferenz) haben, z.B. 10, 20.
- E-Mail-Server lesen zuerst MX-Records der Empfänger-Domain und stellen dann an den Server mit der niedrigsten Prioritätszahl zu.
Beispiel-MX-Einträge:
example.com. 3600 IN MX 10 mail.example.com.example.com. 3600 IN MX 20 backupmail.example.com.
Diese MX-Records sagen: Haupt-Mailserver ist mail.example.com, Fallback ist backupmail.example.com.
SPF: Wer darf E-Mails senden?
- SPF (Sender Policy Framework) ist als TXT-Record in der DNS-Zone der Domain hinterlegt und listet zulässige Mailserver oder IPs.
- Empfänger prüfen, ob der sendende Server im SPF-Eintrag der Absenderdomain erlaubt ist; bei Verstoß kann die Mail abgelehnt oder markiert werden.
Typische SPF-Beispiele:
-
Nur eigener Server (IPv4):
example.com. 3600 IN TXT "v=spf1 ip4:203.0.113.10 -all" -
Eigener Server + externer Dienst (z.B. Newsletter):
example.com. 3600 IN TXT "v=spf1 ip4:203.0.113.10 include:_spf.mailprovider.tld -all" -
v=spf1kennzeichnet SPF-Version,ip4:bzw.ip6:erlauben IPs,include:bindet fremde SPF-Records ein,-allbedeutet, dass alle anderen nicht erlaubt sind.
DKIM: Signierte E-Mails
- DKIM (DomainKeys Identified Mail) signiert jede ausgehende E-Mail kryptografisch. Der öffentliche Schlüssel liegt als TXT-Record im DNS.
- Der TXT-Record steht unter einem speziellen Hostnamen, der aus Selektor und
_domainkeybesteht, z.B.mail._domainkey.example.com.
Beispiel-DKIM-Record:
-
mail._domainkey.example.com. 3600 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUA...AB" -
v=DKIM1ist die Version,k=rsader Schlüsseltyp,p=enthält den öffentlichen Schlüssel (Base64-enkodiert). -
Der ausgehende Mailserver signiert mit dem privaten Schlüssel; Empfänger nutzen den im DNS verfügbaren öffentlichen Schlüssel zum Verifizieren.
DMARC: Richtlinie für fehlgeschlagene Authentifizierung
- DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf und definiert, wie Empfänger bei Fehlern reagieren sollen.
- Der DMARC-Eintrag liegt im TXT-Record unter
_dmarc.example.comund enthält u.a. die Policy (p=) und Reporting-Adressen (rua,ruf).
Beispiel-DMARC-Records:
-
Nur Monitoring (keine Ablehnung):
_dmarc.example.com. 3600 IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com" -
Strenge Ablehnung bei Fehlern:
_dmarc.example.com. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; adkim=s; aspf=s" -
p=none/quarantine/rejectlegt fest, ob Mails nur geloggt, in Quarantäne verschoben oder abgelehnt werden sollen.
DKIM in Plesk:
- Unter Domains → Domain auswählen → E-Mail-Einstellungen → DKIM-Spamschutzsystem verwenden, anschließend in „DNS-Einstellungen“ die generierten
*.domainkey-TXT-Einträge prüfen und im DNS hinterlegen.