Copyright © KC Green

Eigene Domains mit Posteo.de

Permalink 4 min read Published:
 howto   reference  #DKIM #DMARC #Posteo #SPF #Mail #Gandi

Unter Verwendung von SPF und Mailforward eigene Domains mit Posteo.de verwenden

Vor einiger Zeit kam ich mit der - doch recht zeitintensiven - Pflege meines Mailserver-Setups nicht mehr nach und so entschloss ich mich diese Bürde in professionelle Hände abzugeben.

Natürlich vertraue ich mein - mittlerweile - recht umfangreiches E-Mail Archiv nicht jedem dahergelaufenen Provider an. Nein! Selbstverständlich muss dieser höchsten Ansprüchen genügen.

Was lag also näher, als diese Aufgabe an Posteo abzutreten - einem deutschen E-Mailanbieter mit Sitz in Berlin und zudem Arbeitgeber eines Freundes. Hauptaugenmerk dort liegt auf Sicherheit, Datenschutz und Nachhaltigkeit. Der Dienst ist zwar nicht kostenlos, aber günstig und zudem werbefrei. Selbst das Mailserver-Setup, natürlich bestehend aus Open Source Software, entspricht in etwa dem vormals von mir verwendeten. Wunderbar, also nichts wie rüber migriert!

Leider gibt es einen kleinen Haken, Posteo bietet - aus gutem - Grund keine Unterstützung für kundenspezifischen Domains an. Wie das allerdings doch möglich ist, erkläre ich nachfolgend..

Um den Beitrag so kurz wie möglich zu halten, werde ich nicht weiter auf die Sinnhaftigkeit der Maßnahme eingehen, jedoch bitte ich zu berücksichtigen, dass Posteo - offiziell - keine kundenspezifischen Domains unterstützt. Und wer darauf angewiesen ist, das die Authentizität gesendeter E-Mails mittels DKIM validiert werden kann, für den gibt es (derzeit) keine Alternative zur posteo-eigenen Identität.

Ausgehende E-Mails

Die benötigte Konfiguration für ausgehende E-Mails ist super einfach: Als erstes müssen wir im Posteo Webinterface eine neue Nutzer-Identität für unsere Domain hinzufügen. Wie das geht ist wunderbar in der umfangreichen Online-Hilfe erklärt.

Wenn ihr - was wahrscheinlich ist - noch weitere E-Mail Clients verwendet, muss natürlich auch dort diese Identität angelegt werden.

Eingehende E-Mails

Um eingehende E-Mails an den Posteo Mailserver weiterzuleiten, gibt es drei Möglichkeiten:

  1. Wir setzen selbst einen mail forwarding service auf: Diese Option möchte ich direkt übergehen, immerhin war meine ursprüngliche Intention keine Mailserver-Komponenten mehr selbst hosten (und warten) zu müssen. Auch wenn ein Mail-Forwarder durchaus einfach umzusetzen wäre.

  2. Wir nutzen einen der vielen kostenpflichtigen oder “anders-finanzierten” Dienste, wie z.B. Forward Email, @mailgun, Pobox. Aber hier gibt es mit Sicherheit einige schwarze Schafe unter den Anbietern (die genannten sind aber offenbar vertrauenswürdig). Auch werden die meisten auf Grund der dritten Möglichkeit vermutlich keine Notwendigkeit sehen, für einen weiteren Dienst zahlen zu wollen.

  3. Fast jeder Domain-Registrar wie Gandi, Godaddy, United Domains, etc.. bietet heutzutage kostenlos die Möglichkeit einer E-Mail Weiterleitung.

Leider unterscheidet sich das weitere Vorgehen für jeden Domain-Provider/Registrar ein wenig und so werde ich hier nur recht allgemein beschreiben, was für die dritte Option notwendig ist:

Meistens genügt es einen etwaigen E-Mail Dienst zu aktivieren und Weiterleitungen einzurichten. Selbstverständlich müssen die MX-Einträge der eigenen Domain auf die Mailserver des Providers zeigen. Aber dies wird vermutlich direkt durch die Aktivierung des E-Mail Dienstes automatisch konfiguriert werden.

Bei Gandi beispielsweise kann ich den E-Mail Dienst im Webfrontend unter Overview -> Domain configuration -> Emails aktivieren. Die daraufhin angelegten DNS-Einträge sehen wie folgt aus:

dig @1.1.1.1 this-is-fine.io MX
;; QUESTION SECTION:
;this-is-fine.io.		IN	MX

;; ANSWER SECTION:
this-is-fine.io.	10800	IN	MX	50 fb.mail.gandi.net.
this-is-fine.io.	10800	IN	MX	10 spool.mail.gandi.net.

Weiterhin werden dann unter E-Mail -> Forwarding addresses die Weiterleitungen für meine Domain hinzugefügt. Ein Eintrag könnte wie folgt aussehen:

max@ forwards to [email protected]

Weitere Konfiguration

Um es Spammern zu erschweren die eigene Domain missbräuchlich zu verwenden (und somit auch die Wahrscheinlichkeit zu erhöhen in einer blacklist eingetragen zu werden), ist es unerlässlich zwei weitere DNS-Einträge, für das Sender Policy Framework (SPF) und DMARC hinzuzufügen.

Der SPF Eintrag ist wirklich unabdingbar und benennt die Adressen beider MTAs, die zum Versand von E-Mails der Domain berechtigt sind. Ein meinem Fall wäre das natürlich posteo.de und der Dienst von Gandi: _mailcust.gandi.net.

Mit dem DNS TXT-Eintrag für DMARC werden Richtlinie beschrieben, wie E-Mails behandelt werden sollen, die nicht den Anforderungen an SPF und DKIM entsprechen. Wer sich intensiver mit DMARC beschäftigen möchte, den verweise ich auf die FAQs. Ich für meinen Teil setze ‘p=none’, um alle E-Mails durchzulassen:

dig @1.1.1.1 this-is-fine.io TXT +short
"v=spf1 include:_mailcust.gandi.net include:posteo.de ~all"
"v=DMARC1; p=none"

Überprüfung des Mail Setups

Abschließend können wir mit Hilfe von mail-tester.com wunderbar unser aktuelles E-Mail Setup validieren. Ich nutze den Dienst immer mal wieder für diverse Mailserver-betreffenden Belange. Selbstverständlich können wir auf Grund der fehlenden DKIM-Konfiguration keine 100% erreichen.