Wer muß bei Strato SPF, DMARC und DKIM konfigurieren?

6. Juni 2024

Autor: Bernhard Abmayr

1      Problem

Ich verwalte eine Homepage, die bei Strato gehostet ist. Seit dem 20.5.2024 kamen Mails, die von der Webseite aus mittels PHP-Skript versendet wurden, nicht mehr beim Empfänger an. (Das betraf sowohl Mails, die von selbst erstellten PHP-Formularen, als auch solche, die von Plugins versendet wurden.) Stattdessen bekam der Administrator der Webseite 5 Tage später eine Unzustellbarkeitsnachricht. Darin fand sich folgende Fehlerbeschreibung:

 

host chrootmail.store.d0m.de[192.168.46.194] said:

    421 chrootmail.store.d0m.de SMTP-Service currently not available due to

    resource limitations; please try again later (Cond.Orange) (in reply to

    MAIL FROM command)

 

Der Ablauf war: Die Mail, die vom PHP-Formular abgesendet wurde, wurde vom Strato-Mailserver an den Mailserver des Empfängers (in diesem Fall 1&1 bzw. Ionos) gesendet. Dieser vermißte den DKIM-Eintrag und / oder den SPF-Eintrag und hatte die Mail an den Strato-Mailserver zurückgeschickt. Dieser versuchte es wohl immer wieder einmal, aber nach 5 Tagen hatte er genug und sandte mir die Mail als unzustellbar zu. (Nachdem ich die Einstellungen unten gemacht hatte, kamen innerhalb einiger Stunden die ganzen Mails an, die der Strato-Mailserver in den letzten 5 Tagen gesammelt hatte.)

 

Übrigens ist die Fehlermeldung „resource limitations“ ziemlich unpassend und trägt leider nicht dazu bei, den wirklichen Fehler zu finden. Auch könnte es sein, daß andere Mailserver beim gleichen Problem andere Fehlernummern generieren.

 

Das Versenden und Empfangen von Mails über die Mailkonten mit Outlook funktionierte problemlos.

 

2      Ursache

Viele Mailprovider (Google, Yahoo, WEB.DE, GMX, 1&1, …) führen immer mehr Überprüfungen ein, um erwünschte von unerwünschten E-Mails unterscheiden zu können. Das ist durchaus verständlich, da sie mit unvorstellbaren Mengen an kriminellen Mails umgehen müssen. Deshalb werden Mails ohne SPF, DMARC und DKIM immer häufiger zurückgewiesen.

3      Lösung

Ein Anruf bei Strato half nicht so recht, weil der Service nicht bei der Konfiguration des Mailservers helfen wollte. Deshalb mußte ich mich in die Materie einarbeiten und möchte dem Leser hier helfen, daß dies bei ihm schneller geht.

 

Die Hilfeseite für die DNS-Konfiguration bei Strato beschreibt einiges, manches bleibt aber unverständlich, wenn man mit der Materie nur wenig vertraut ist. Alles, was man im Vergleich zu den Standardeinstellungen ändern muß, findet sich in den Einstellungen für TXT und CNAME Records incl. SPF und DKIM.

 

3.1           Wer muß was einstellen?

  1. Wer nur Mailkonten benutzt, die von Strato verwaltet werden (d.h. zu einer Domain gehören, die von Strato gehostet wird), muß nichts einstellen, solange die Konten nur über den Strato-Webmailer oder ein Mailprogramm wie Outlook verwendet werden. Denn in diesem Fall fügt Strato automatisch alles zur Mail hinzu, was nötig ist. (Im Vergleich zu früher sieht man im Mail-Header z.B. DKIM-Einträge.)
  2. Wer von Strato verwaltete Konten benutzt, um z.B. mittels Plug-ins oder PHP-Formularen auf der Webseite Mails zu versenden, muß SPF und DMARC einstellen, DKIM ist (zumindest im Moment) nicht nötig. Wer solche Mails dann ansieht, stellt fest, daß Strato auch hier automatisch DKIM-Eintrage zum Mailheader hinzufügt. (Die Frage, ob in diesem Fall DKIM eingestellt werden muß, fand ich nirgends gut beantwortet.) Nur für diesen Fall sind die unten beschriebenen Einstellungen!
  3. Wer einen anderen Mailserver benutzt, der muß SPF, DMARC und DKIM einstellen. Wie das im Fall von Rapid-Mail funktioniert, beschreibt die Seite https://www.rapidmail.de/hilfe/dkim-key-fuer-strato-erstellen-so-gehts ausführlich. Bei anderen Mail-Providern funktioniert es ähnlich. Wichtig ist, wie man die Angaben für den DKIM-Record vom Mail-Provider bekommt und bei Strato eintragen kann.

3.2           SPF-Record

SPF-Regel: Standard STRATO Mailserver

3.3           DMARC

Wie auf der Hilfeseite beschrieben, erstellt man einen Record mit folgenden Eigenschaften:

Typ: TXT

Präfix: _dmarc
Wert: v=DMARC1; p=quarantine; pct=100

DMARC teilt dem Mailserver des Empfängers mit, was er mit einer Mail tun soll, die nicht alle Sicherheitskriterien erfüllt. Das betrifft NICHT die Mails, die du selber von der eigenen Domain verschickst (außer wenn nötige Einträge fehlen), sondern solche, die von anderen illegaler Weise unter Verwendung deiner Domain als Absender versendet werden.

p=none: Sortiere die Mail ins normale Postfach ein. (Sinnvoll, wenn man mit eigenen Adressen testet.)

p=quarantine: Behandle die Mail als Spam. (Wie Spam-Mails behandelt werden, wird den Einstellungen des Empfänger-Kontos entnommen.)

p=reject: Lehne die Mail komplett ab.

 

Daneben kann man bei DMARC noch 2 Mailadressen angeben für Fehlerberichte. Das (und einiges mehr) ist auf der Seite https://support.cleverelements.com/de-form/articles/7887099-e-mail-authentifizierung-einrichten-spf-dkim-dmarc gut beschrieben.

 

3.4           DKIM

Da meine Domain und die zugehörigen Mailadressen beim gleichen Provider verwaltet werden, ist hier nichts zu tun.

 

 

 

PS: Verbesserungsvorschläge oder Kommentare können mir mit diesem Formular gesendet werden:

https://mfrnord.info/own_pages/kontakt/nord_kontakt.php?to_whom=Internetwart