In Plesk werden zahlreiche Lösungen zum Schutz vor Spam für die Validierung der Identität von E-Mail-Nachrichten unterstützt:

  • DKIM (DomainKeys Identified Mail) ist eine Methode, über die mithilfe von Verschlüsselungsauthentifizierung die Identität eines Domainnamens mit einer ausgehenden Nachricht verknüpft und die Identität des Domainnamens einer eingehenden Nachricht validiert werden kann.
  • SPF (Sender Policy Framework) ist eine Methode, um die Fälschung von Absenderadressen zu vermeiden. Damit soll zum Beispiel verhindert werden, dass falsche Absenderadressen eingesetzt werden können. Damit kann in Mailservern überprüft werden, ob eine eingehende E-Mail einer Domain von einem Host stammt, der vom Administrator der Domain autorisiert wurde. Außerdem wird in Plesk SRS (Sender Rewriting Scheme) eingesetzt, damit weitergeleitete Nachrichten die SPF-Überprüfung bestehen können.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) ist eine Technologie, mit der die Funktionen der SPF- und DKIM-Methoden erweitert werden. In der DMARC-Richtlinie wird festgelegt, wie der Empfänger abhängig von den Ergebnissen der DKIM- und SPF-Überprüfung E-Mail-Nachrichten behandeln soll.

Für diese Lösungen gelten folgende Mailserver-Anforderungen:

Mailserver DKIM SPF* SRS DMARC
Postfix (Linux)
Qmail (Linux)
MailEnable Professional (Windows)
MailEnable Standard (Windows) Version 9.16 oder höher
SmarterMail (Windows)
IceWarp (Windows)

Mit dem Symbol „+“ in dieser Tabelle wird darauf hingewiesen, dass die Lösung von allen Versionen unterstützt wird, die von Plesk Obsidian. unterstützt werden. „-“ bedeutet hingegen, dass die Lösung nicht unterstützt wird.

Bemerkung: *In the table above, SPF support means SPF for incoming mail. Linux mail servers are marked with ‘+’ because Plesk for Linux supports SPF for incoming and outgoing mail. Windows mail servers are marked with ‘-’ because Plesk for Windows supports SPF for outgoing mail only.

DKIM

Enabling DKIM for a domain attaches a special header to every email sent from the domain. This header contains a cryptographic private key. The recipient mail servers use a public key to verify that an email was indeed sent from the domain and no one tampered with the email content in transit. Emails that do not have the header will be detected as not authentic.

Damit DKIM unterstützt wird, werden in Plesk die Funktionen einer externen Bibliothek (Linux) oder eines von Plesk bereitgestellten Mailservers (Windows) eingesetzt.

Enabling or Disabling DKIM on the Server

DKIM ist in Plesk standardmäßig aktiviert. Um DKIM zu deaktivieren oder nur für eingehende oder ausgehende E-Mails beizubehalten, gehen Sie zu Tools & Einstellungen > Mailserver-Einstellungen (unter „E-Mail“). Scrollen Sie dann nach unten zum Abschnitt „DKIM-Spamschutz“ und heben Sie die Auswahl für eines oder beide der folgenden Kontrollkästchen auf:

  • Signieren ausgehender E-Mail-Nachrichten erlauben: Hierdurch können Kunden die Signierung ausgehender E-Mails über DKIM für jede Domain individuell aktivieren. Das Signieren aller ausgehender E-Mail-Nachrichten wird dabei nicht automatisch aktiviert. Um DKIM zu verwenden, müssen Benutzer DKIM für die einzelnen Domains aktivieren.
  • Eingehende E-Mail-Nachrichten überprüfen (Plesk für Linux): Über diese Option können Sie festlegen, dass alle eingehenden E-Mails in Hinsicht auf DKIM überprüft werden. Alle Nachrichten werden überprüft. Falls eine E-Mail dabei die Überprüfung nicht besteht, wird sie mit einem besonderen Header gekennzeichnet.

Bemerkung: Wenn DMARC aktiviert ist, können Sie die Überprüfung eingehender Nachrichten über DKIM nicht deaktivieren.

Enabling DKIM for a Domain

Wenn das Signieren über DKIM auf dem Server aktiviert ist (siehe den Abschnitt oben Aktivieren oder deaktivieren von DKIM auf dem Server), können Kunden ausgehende E-Mails für ihre Domains signieren.

To enable DKIM signing of outgoing mail for a domain:

  1. Go to Websites & Domains > your domain > the „Mail“ tab > Mail Settings.

  2. Select the „Use DKIM spam protection system to sign outgoing email messages“ checkbox and then click Apply.

    If you use the Plesk DNS server, you have enabled DKIM for the domain. Plesk adds the following two records to the DNS zone of the domain (example.com stands for your domain name):

    • default._domainkey.example.com contains the public part of the generated key.
    • _ domainkey.example.com contains the DKIM policy. You can edit this policy.

    If you use an external DNS server, you have one more step left. Plesk cannot add the DNS records to the external DNS server. Add them yourself using a hint from Plesk.

  3. Click „How to configure external DNS“ to open the hint. Copy two DNS records you see there and add them to the DNS server.

Bemerkung: If you have domain aliases you use to send mail, add the DKIM DNS records for them as well. Use the same records as for the main domain but with the domain alias name.

image DKIM external DNS

SPF und SRS

SPF (Sender Policy Framework) ist eine Methode, um die Fälschung von Absenderadressen zu vermeiden. Damit soll zum Beispiel verhindert werden, dass falsche Absenderadressen eingesetzt werden können. Mit SPF können Domain-Administratoren eine Richtlinie festlegen, damit bestimmte Hosts E-Mails von der Domain senden dürfen. In empfangenden Mailservern wird überprüft, ob eine eingehende E-Mail einer Domain von einem Host stammt, der vom Administrator der Domain autorisiert wurde. SPF beruht auf den Regeln, die vom Administrator in der DNS-Zone des Absenders festgelegt werden.

In Plesk können Sie eine SPF-Richtlinie für ausgehende E-Mails festlegen, indem Sie ein Regeln in einem DNS-Eintrag angeben. In Plesk für Linux werden über SPF standardmäßig auch eingehende E-Mails überprüft.

Wenn SPF eingerichtet ist, werden eingehende E-Mails vom Mailserver mithilfe der folgenden Algorithmusschritte überprüft:

  1. Lokale Regeln lesen.

    Lokale Regel sind vom Spamfilter verwendete Regeln. Beispiel: a:test.plesk.com.

  2. DNS-SPF-Eintrag des Senders suchen (falls vorhanden).

    Beispiel für einen SPF-Eintrag: example.com. TXT v=spf1 +a +mx -all

  3. Lokale Regeln und den SPF-Eintrag in Richtlinie zusammenführen.

    Die resultierende Richtlinie lautet für unser Beispiel: example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all

    Bemerkung: Wenn der Mailserver keinen SPF-Eintrag erkennt, kompromittiert die resultierende Richtlinie nur die lokalen Regeln.

  4. E-Mails im Hinblick auf die Richtlinie (aus dem vorherigen Schritt) überprüfen.

  5. Schätzungsregeln lesen.

    Schätzungsregeln sind globale Regeln, mit denen der SPF-Eintrag überschrieben wird. Beispiel für eine Schätzungsregel: v=spf1 +a/24 +mx/24 +ptr ?all.

  6. E-Mails nur im Hinblick auf Schätzungsregeln überprüfen.

  7. Ergebnis der beiden Überprüfungen vergleichen: eine im Hinblick auf die Richtlinie aus Schritt 4 und die andere nur im Hinblick auf die Schätzungsregeln aus dem vorherigen Schritt. Übernehmen Sie die Überprüfung, deren Ergebnis weniger restriktiv ist.

Weitere Informationen zu den verschiedenen Status der SPF-Überprüfung

So richten Sie eine SPF-Richtlinie für ausgehende E-Mails ein:

Gehen Sie zu Tools & Einstellungen > DNS-Template und bearbeiten Sie den TXT-DNS-Eintrag für SPF. Dieser DNS-Eintrag ist immer im serverweiten DNS-Template vorhanden. Hier finden Sie ein Beispiel des in Plesk erstellten SPF-Eintrags:

example.com.    TXT    v=spf1 +a +mx +a:test.plesk.com -all

Eine Beschreibung der einzelnen Bestandteile des Eintrags finden Sie hier:

Bestandteil Beschreibung
v=spf1 Für die Domain wird SPF der Version 1 verwendet.
+a Alle Hosts der A-Einträge sind autorisiert, E-Mails zu senden.
+mx Alle Hosts der MX-Einträge sind autorisiert, E-Mails zu senden.
+a:test.plesk.com Von der Domain test.plesk.com können E-Mails gesendet werden.
-all Von allen anderen Domains dürfen keine E-Mails gesendet werden.

Weitere Informationen zur Syntax von DNS-Einträgen für SPF finden Sie hier:. Die Notation der Richtlinie finden Sie unter RFC7208.

(Plesk für Linux) So konfigurieren Sie SPF, damit eingehende E-Mails überprüft werden:

  1. Gehen Sie zu Tools & Einstellungen > Mailserver-Einstellungen (unter „E-Mail“) und scrollen Sie nach unten zum Abschnitt „SPF-Spamschutz“.

  2. Wählen Sie eine Option aus dem Drop-down-Menü des SPF-Überprüfungsmodus aus, um festzulegen, wie E-Mails gehandhabt werden sollen, wenn für SPF lokale und Schätzungsregeln angewendet werden:

    1. Nur Received-SPF-Header erstellen, niemals blockieren: Alle eingehenden Nachrichten werden ungeachtet der Ergebnisse der SPF-Überprüfung angenommen.
    2. Benachrichtigungen über temporäre Fehler verwenden, wenn Probleme bei der DNS-Suche auftreten: Alle eingehenden Nachrichten werden ungeachtet der Ergebnisse der SPF-Überprüfung angenommen, selbst wenn die SPF-Überprüfung aufgrund von Problemen bei der DNS-Suche fehlgeschlagen ist.
    3. E-Mail abweisen, wenn Ergebnis der SPF-Abfrage „fail“ ist (verweigern): Nachrichten von Absendern, die nicht zur Verwendung der jeweiligen Domain autorisiert sind, werden zurückgewiesen.
    4. E-Mail abweisen, wenn Ergebnis der SPF-Abfrage „softfail“ ist: Nachrichten von Absendern werden zurückgewiesen, die vom SPF-System nicht als autorisiert erkannt werden können oder die nicht autorisiert sind, da für die Domain keine SPF-Einträge veröffentlicht sind.
    5. E-Mail abweisen, wenn Ergebnis der SPF-Abfrage „neutral“ ist: Nachrichten von Absendern werden zurückgewiesen, die vom SPF-System nicht als autorisiert erkannt werden können oder die nicht autorisiert sind, da für die Domain keine SPF-Einträge veröffentlicht sind.
    6. E-Mail abweisen, wenn Ergebnis der SPF-Abfrage nicht „pass“ ist: Nachrichten werden zurückgewiesen, wenn sie aus irgendeinem Grund die SPF-Überprüfung nicht bestehen (z. B. wenn die Domain des Absenders SPF nicht implementiert und die SPF-Überprüfung den Status „unknown“ zurückgibt).
  3. Um lokale Regeln festzulegen, geben Sie die notwendigen Regeln in das Feld Lokale SPF-Regeln ein.
    Zum Beispiel: include:spf.trusted-forwarder.org.

    Weitere Informationen zu den SPF-Regeln

  4. Sie können die Schätzungsregeln auch im Feld SPF-Schätzungsregeln angeben.

    Zum Beispiel: v=spf1 +a/24 +mx/24 +ptr ?all

  5. Um eine beliebige Fehlermeldung anzugeben, die an den SMTP-Absender zurückgegeben wird, wenn eine Nachricht zurückgewiesen wird, geben Sie diese in das Feld SPF-Erklärungstext ein.

    Wenn kein Wert angegeben ist, wird der Standardtext als Benachrichtigung verwendet.

  6. Klicken Sie auf OK, um die Einrichtung abzuschließen.

(Plesk für Linux) So deaktivieren Sie die SPF-Überprüfung für eingehende E-Mails:

  1. Gehen Sie zu Tools & Einstellungen > Mailserver-Einstellungen (unter E-Mail).
  2. Heben Sie im Abschnitt „DMARC“ die Auswahl des Kontrollkästchens „DMARC aktivieren, um eingehende E-Mails zu überprüfen“ auf, falls es angeklickt ist.
  3. Heben Sie im Abschnitt „SPF-Spamschutz“ die Auswahl des Kontrollkästchens „SPF-Spamschutz aktivieren, um eingehende E-Mails zu überprüfen“ auf. Klicken Sie dann auf OK.

Verwenden von SRS

Neben SPF unterstützen einige Mailserver in Plesk auch SRS (Sender Rewriting Scheme). Dabei handelt es sich um eine Methode, um die Absenderadresse einer weitergeleiteten E-Mail so umzuschreiben, dass die E-Mail weiterhin den Anforderungen von SPF entspricht. Mit SRS können Sie sich vergewissern, dass die Nachrichten auch beim Einsatz von SPF geliefert werden.

SRS wird automatisch verwendet, wenn Nachrichten von in Plesk gehosteten Postfächern weitergeleitet werden.

Um die SRS-Funktionalität bereitzustellen, werden in Plesk die Funktionen einer externen Bibliothek (Linux) oder einer Mailserver-Software (Windows) eingesetzt.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist eine Technologie, mit der die Funktionen der SPF- und DKIM-Senderichtlinien erweitert werden. In der DMARC-Richtlinie wird festgelegt, wie der Empfänger abhängig von den Ergebnissen der DKIM- und SPF-Überprüfung E-Mail-Nachrichten behandeln soll. Diese Technologie beruht auf den Regeln, die in der DNS-Zone des Absenders festgelegt werden.

In Plesk können Sie eine DMARC-Richtlinie für ausgehende E-Mails festlegen, indem Sie Regeln in einem DNS-Eintrag angeben. Wenn in Plesk für Linux und Plesk für Windows SmarterMail eingesetzt wird, führt DMARC standardmäßig eine Überprüfung von eingehenden E-Mails durch.

So richten Sie eine benutzerdefinierte DMARC-Richtlinie für ausgehende E-Mails ein:

Gehen Sie zu Tools & Einstellungen > DNS-Template und bearbeiten Sie die DNS-Einträge für die DMARC-Richtlinie. Diese DNS-Einträge sind immer im serverweiten DNS-Template vorhanden. Im Gegensatz dazu werden DNS-Einträge für DKIM zu DNS-Zonen einzelner Domains hinzugefügt, wenn Sie DKIM für die Domain aktivieren.

Die DMARC-Standardrichtlinie von Plesk ist zum Beispiel in diesem Eintrag definiert:

_dmarc.<domain>.    TXT    v=DMARC1; p=none

In dieser Richtlinie wird empfohlen, dass der empfangende Mailserver Nachrichten nicht löschen sollte, auch wenn die Überprüfung fehlgeschlagen ist. Sie können jedoch eine strengere Richtlinie festlegen. Beachten Sie jedoch, dass für den Empfangsserver möglicherweise eigene Richtlinien zu eingehenden E-Mails gelten.

Hosting-Kunden können die Richtlinien für einzelne Domains bearbeiten.

Weitere Informationen zu DMARC inklusive Richtliniennotation finden Sie unter https://datatracker.ietf.org/doc/rfc7489/.

So deaktivieren Sie die Überprüfung von eingehenden E-Mails über DMARC:

  1. Gehen Sie zu Tools & Einstellungen > Mailserver-Einstellungen (unter E-Mail).
  2. Heben Sie im Abschnitt „DMARC“ die Auswahl des Kontrollkästchens „DMARC aktivieren, um eingehende E-Mails zu überprüfen“ auf. Klicken Sie dann auf OK.

image 78142