DNS Mail-Records¶
In diesem Kapitel werden alle DNS-Einträge eingerichtet, die für den Mailbetrieb erforderlich sind. Sie definieren, welcher Server Mails empfängt, welche Server senden dürfen und wie Empfänger die Authentizität prüfen können.
Alle Einträge werden bei deSEC.io verwaltet.
Übersicht¶
graph TD
A[example.com] -->|MX| B[Relay-Server<br/>mail.example.com]
A -->|TXT| C[SPF<br/>v=spf1 mx -all]
A -->|TXT| D[DMARC<br/>_dmarc.example.com]
E[DKIM-Selektor._domainkey<br/>.example.com] -->|TXT| F[DKIM Public Key]
B -->|A-Record| G[Statische IP<br/>des Relay]| Record | Name | Zweck |
|---|---|---|
| A | mail.example.com |
IP-Adresse des Relay-Servers |
| MX | example.com |
Mailserver der Domain |
| TXT | example.com |
SPF – erlaubte Absender |
| TXT | {{DKIM_SELECTOR}}._domainkey.{{DOMAIN}} |
DKIM – öffentlicher Schlüssel |
| TXT | _dmarc.{{DOMAIN}} |
DMARC – Richtlinie und Reporting |
1. A-Record für den Relay-Server¶
Dieser Record ist die Grundlage für MX und Reverse DNS.
2. MX-Record¶
Der MX-Record verweist auf den Relay-Server. Alle eingehenden Mails für example.com werden dort zugestellt.
3. SPF-Record¶
SPF (Sender Policy Framework) legt fest, welche Server E-Mails für die Domain versenden dürfen. Empfangende Mailserver prüfen, ob die sendende IP im SPF-Record der Absender-Domain aufgeführt ist.
Record für {{DOMAIN}}:
Syntax-Erklärung¶
| Mechanismus | Bedeutung |
|---|---|
v=spf1 |
SPF-Version, muss immer am Anfang stehen |
mx |
Der im MX-Record eingetragene Server ist erlaubt – hier {{RELAY_HOSTNAME}} ({{RELAY_IP}}) |
-all |
Alle anderen Server werden abgelehnt (Hardfail) |
Alternativer Qualifier für all:
| Qualifier | Bedeutung | Empfehlung |
|---|---|---|
-all |
Hardfail – Mail wird abgelehnt | Empfohlen wenn Setup stabil ist |
~all |
Softfail – Mail wird akzeptiert aber markiert | Sinnvoll während der Einrichtung |
?all |
Neutral – keine Aussage | Nicht empfohlen |
In diesem Setup versendet nur der Relay-Server Mails ins Internet.
mxreicht daher aus – der Heimserver taucht nicht direkt im SPF auf, weil er nur über den Relay weiterleitet.
Validierung¶
Online-Test: MXToolbox SPF Check
Häufige Fehler¶
- Mehrere SPF-Records: Es darf nur einen TXT-Record mit
v=spf1pro Domain geben. Mehrere Records führen zu SPFpermerror. - Heimserver-IP direkt eingetragen: Nicht nötig – der Heimserver sendet nie direkt ins Internet.
includefür externe Dienste vergessen: Wenn z. B. ein Newsletter-Dienst im Namen der Domain versendet, muss dessen IP oderinclude-Mechanismus ergänzt werden.
4. DKIM-Record¶
Der öffentliche DKIM-Schlüssel wird im DNS veröffentlicht. Der Selektor {{DKIM_SELECTOR}} entspricht der Konfiguration von OpenDKIM auf dem Heimserver.
Den tatsächlichen Wert für p= liefert OpenDKIM bei der Schlüsselerzeugung. Die vollständige Einrichtung folgt in DKIM einrichten.
5. DMARC-Record¶
DMARC verbindet SPF und DKIM und definiert, wie empfangende Server mit Fehlern umgehen sollen.
Parameter:
| Parameter | Wert | Bedeutung |
|---|---|---|
p |
quarantine |
Mails ohne gültiges SPF/DKIM als Spam behandeln |
rua |
mailto:... |
Adresse für aggregierte Berichte |
adkim |
s |
DKIM-Alignment strict |
aspf |
s |
SPF-Alignment strict |
Für neue Setups zunächst
p=noneverwenden und nach Beobachtung aufquarantineoderrejecterhöhen. Details in DMARC konfigurieren.
6. Überprüfung¶
# A-Record
dig A mail.example.com
# MX
dig MX example.com
# SPF
dig TXT example.com
# DKIM
dig TXT {{DKIM_SELECTOR}}._domainkey.{{DOMAIN}}
# DMARC
dig TXT _dmarc.{{DOMAIN}}
Online-Tools für eine vollständige Prüfung:
- MXToolbox – MX, SPF, DMARC
- mail-tester.com – Gesamtbewertung einer Testmail
✅ Ergebnis¶
Nach diesem Kapitel:
- Der Relay-Server ist per A- und MX-Record erreichbar
- SPF ist konfiguriert
- Der DKIM-DNS-Record ist vorbereitet (Schlüssel folgt in Kapitel 09)
- DMARC ist aktiv
🔁 Navigation¶
← Zurück: Heimserver einrichten
→ Weiter: DKIM einrichten