Differences

This shows you the differences between two versions of the page.

--- absicherung_e-mail [2018/11/04 12:29] – created caesar
+++ absicherung_e-mail [2020/08/07 21:18] (current) – [Certification Authority Authorization (CAA)] caesar
@@ Line 1: / Line 1: @@
-===== Absicherung E-Mail =====
+===== Absicherung Domain =====
-Beitrag mit den umgesetzten und geplanten Verfahren zur Absicherung des Mailservers vom Circus Maximus.
+Beitrag mit den umgesetzten und geplanten Verfahren zur Absicherung der Domain (und des Mailservers) vom Circus Maximus.
+==== Certification Authority Authorization (CAA) ====
+Über einen CAA-Record können Domain-Inhaber ausdrücklich einen oder mehrere Herausgeber autorisieren, Zerti-
+fikate für ihre Domain auszustellen. Dafür schlägt die CA im Domain Name System nach, ob für die betreffende Domain ein CAA-Record mit ihrem Namen hinterlegt ist.
+Info: PHP-Bibliothek für einen Webdienst zum Entgegennehmen von IODEF-Berichten unter https://github.com/marknl/iodef
+Links: [[https://support.dnsimple.com/articles/caa-record/|dnsimple - CAA Records]] | [[https://sslmate.com/caa/|SSLMate Record-Generator]]
+https://www.netcup-news.de/2017/12/07/netcup-dns-server-um-caa-records-erweitert/
+DNS-Einträge für circus-maximus.de:
+''0 issue "letsencrypt.org"''
+''0 iodef "mailto:nuntius@circus-maximus.de"''
+Status: umgesetzt (mit Reporting)
 ==== Sender Policy Framework (SPF) ====
@@ Line 23: / Line 42: @@
 DKIM-Signaturen basieren auf asymmetrischer Verschlüsselung. Eine E-Mail wird mit einer Digitalen Signatur versehen, die der empfangende Server anhand des öffentlichen Schlüssels, der im Domain Name System (DNS) der Domäne verfügbar ist, verifizieren kann. Schlägt dies fehl, hat der empfangende Mail Transfer Agent (MTA) oder das empfangende Anwendungsprogramm die Möglichkeit, die E-Mail zu verweigern oder auszusortieren.
-Links: [[https://support.dnsimple.com/articles/dkim-record/|dnsimple - DKIM Records]] | [[https://yomotherboard.com/how-to-setup-email-server-dkim-keys/|Setup Email Server DKIM Keys]]
+Links: [[https://support.dnsimple.com/articles/dkim-record/|dnsimple - DKIM Records]] | [[https://yomotherboard.com/how-to-setup-email-server-dkim-keys/|Setup Email Server DKIM Keys]] | [[https://www.port25.com/support/authentication-center/email-verification/|Test DKIM Config]]
 . Schritt: Generierung Schlüsselpaar
+Die Generierung des privaten und öffentlichen Schlüssels für die DKIM-Signatur kann über das Skript "/tools/DKIM_gen_keys.php" erfolgen. Dazu muss temporär ein schreibbares Verzeichnis /tmp/ angelegt werden. Im Verzeichnis werden anschließend die beiden Schlüssel angelegt und der zugehörige DNS-Eintrag über das Skript ausgegeben. Die beiden Schlüssel müssen anschließend noch in das /inc/ Verzeichnis verschoben werden.
 . Schritt: DNS-Eintrag
+Der Name des DNS-Eintrags ist der Selektor (Name des Schlüssels):
+''nuntius._domainkey''
+Datenfeld des DNS-Eintrags:
+''v=DKIM1; h=sha256; t=s; p=MIIB...''
+Im Datenfeld können bis zu 512 Zeichen eingetragen werden. Damit sind Schlüssel bis zu einer Stärke von 2048 Bits möglich.
 . Schritt: E-Mail Signatur
-Status: in Umsetzung
+Das Generieren und Anhängen der DKIM-Signatur zu einer E-Mail kann in der Funktion send_mail() aus der Bibliothek mail.func.php über einen Parameter aktiviert werden.
+Alternativ zu diesen drei Schritten kann die DKIM-Signierung aller E-Mails auch in den Domaineinstellungen des Hosters (wenn unterstützt wie bei All-Inkl.com) aktiviert werden. Dies hat den Vorteil, dass auch über ein Mail-Programm versandte E-Mails signiert werden.
+Status: umgesetzt (über Domaineinstellung beim Hoster)
 ==== Domain-based Message Authentication, Reporting and Conformance (DMARC) ====
@@ Line 37: / Line 72: @@
 DMARC baut auf den bekannten Techniken SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) auf, indem es festlegt, wie der Empfänger von E-Mails die Authentifizierung durchführen soll. Während die vorgenannten Techniken beschreiben, wer eine Mail versenden darf (SPF) bzw. dass diese Mail in bestimmter Weise unverändert vom Absender stammt (DKIM), kann der Absender nach der DMARC-Spezifikation zusätzlich Empfehlungen geben, auf welche Art der Empfänger mit einer Mail umgeht, die in einem oder beiden Fällen nicht den Anforderungen entspricht. Sofern der Empfänger einer E-Mail die DMARC-Spezifikation anwendet, ist dadurch eine konsistente Überprüfung der Authentizität dieser E-Mail gesichert.
-Status: geplant
+Links: [[https://support.google.com/a/answer/2466580|G Suite - Informationen zu DMARC]]
+DNS-Eintrag für circus-maximus.de:
+''v=DMARC1; p=quarantine; pct=10; rua=mailto:nuntius@circus-maximus.de''
+Status: umgesetzt (mit aktuell 10% Quarantäne)
 ==== Sonstiges ====