besondere E-Mail-Sicherheitsstandards

[Mirlo]

Hallo,
eine Internet-Platform verlangt besondere E-Mail-Sicherheitsstandards. Es ist aber nirgends ersichtlich was für welche.

Aus Sicherheitsgründen können wir nur E-Mails von Adressen verarbeiten, die bestimmte E-Mail-Sicherheitsstandards erfüllen.
- Verwenden Sie eine E-Mail-Adresse eines Anbieters mit aktuellen Sicherheitsfunktionen.

Was könnte damit gemeint sein? SPF und DKIM ist bereits eingerichtet.

 

[Zer0DEV]

@Mirlo Vielleicht DMARC!?

 

[BlubbsDE]

Den Anbieter der Plattform fragen, mit welchen Leuten und Sicherheitssystemen er schreiben will?

 

[nullPtr]

Ich würde da mal tiefstapeln. Die meinen sicher SMTP ausschließlich über TLS/STARTTLS (nicht unverschlüsselt).

 

[VDC]

eine Internet-Platform

Einfach mal den Link posten macht es dreimal einfacher.

 

[AlanK]

Und du solltest zusätzlich auch mitteilen, wer dein E-Mail Provider / Hoster ist.

 

[BFF]

Amazon schickt diese Nachricht, wenn man seinen eigenen Mailserver (z.B. bei NetCup) nicht abgesichert hat und darueber an Amazon schreibt. Das geht in Richtung DMARC usw.

 

[Axxid]

Den Anbieter der Plattform fragen, mit welchen Leuten und Sicherheitssystemen er schreiben will?

Und wenn er nicht antwortet war es nicht sicher genug?

 

[Mirlo]

Beachtet meine "Gefällt mir" hier.
Ich probiere mal DMARC einzurichten. Bis gleich.

 

[JumpingCat]

Doppeltes Thema? https://forum.netcup.de/thread/22154-mail-unsicher-benachrichtigung-von-amazon/

Was könnte damit gemeint sein?

Sollen wir raten woher die Meldung kommt und wie dein E-Mail Setup aussieht?

 

[Blutomen]

SPF, DMARC & DKIM sind Standard.
Kann aber auch sein, dass die von dir ein S/MIME Individual haben wollen.
Also ein gültiges S/MIME Zertifikat mit Personen Identifizierung durchn Aussteller.

 

[Frightener]

Du kannst auch mal alles bei mxtoolbox prüfen lassen.

 

[NJay]

Das hatte ich bei Amazon auch genau so. DMARC war die Lösung.

 

[Mirlo]

Habe jetzt DMARc eingerichtet und es scheint zu funktionieren. Zumindest kam bisher keine Beanstandung.

Frage: Ich nutzte Email auch mit Subdomains (hallo @ email.example.com). Muss da für die Subdomains ein extra TXT-Record angelegt werden, oder genügt ein einfacher _dmarc?

Name: _dmarc
Typ: TXT
Wert: v=DMARC1; p=none; sp=none;

"sp" ist für Subdomains.

 

[Frightener]

Das reicht. Ich würde allerdings von "none" auf "quarantine" gehen.

Wie oben geschrieben, du kannst das Ganze auf mxtoolbox prüfen lassen.

 

[Mirlo]

Wie oben geschrieben, du kannst das Ganze auf mxtoolbox prüfen lassen.

Ich glaub das geht auch auf der command line mit nslookup. Hab das mal vor einigen Jahren gemacht.

Ergänzung (Heute um 15:35)

nslookup -type=TXT -nosearch -recurse _dmarc.example.com
Server:  xxx.xxx
Address:  ffff::1111

Nicht autorisierende Antwort:
_dmarc.example.com      text =

        "v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s"

 

[Frightener]

Es geht um das Prüfen aller Einstellungen. Deine letzte Frage hätte die Seite zumindest auch beantworten können

 

[Rickmer]

Kann aber auch sein, dass die von dir ein S/MIME Individual haben wollen.

Das wäre mir von keiner Plattform bekannt.
Das ist eigentlich immer SPF, DKIM, DMARC und Transportwegverschlüsselung per SSL/TLS (SMTPS).

Frage: Ich nutzte Email auch mit Subdomains (hallo @ email.example.com). Muss da für die Subdomains ein extra TXT-Record angelegt werden, oder genügt ein einfacher _dmarc?

Wenn ich mich richtig erinnere ist default, dass für Subdomains dasselbe gilt wie für die primäre Domain.

 

[Blutomen]

Das wäre mir von keiner Plattform bekannt.

Die Meldung sieht nicht so aus, als hätte die nen Mailserver zurück geantwortet.
Eher das der Absender das war.

Da kenne ich sowas auch .. da wollte man einen Vertrag per E-Mail nur annehmen, wenn die E-Mail-Adresse per S/MIME Personenverifiziert ist.

 

[BFF]

Die Meldung sieht nicht so aus, als hätte die nen Mailserver zurück geantwortet.

Och doch.
Z.B. Amazon erzeugt da richtig gute Mail.
Die erwarten ja nicht das der Mailadmin sich per Konsole die Unzulänglichkeit ansieht und schicken halt schöne HTML formatierte Konstrukte. Womit sie nicht allein sind. 😎

per E-Mail nur annehmen, wenn die E-Mail-Adresse per S/MIME Personenverifiziert ist.

Kann nur eine deutsche „Firma / Bank“ gewesen sein. Die Deutsche Bank war mal so krude in Zeiten vor DE Mail (was glücklicherweise auch tot ist mittlerweile) und wollte gegenseitig per S/Mime in Vertragsangelegenheiten. Ging fast immer schief weil deren Cert meist abgelaufen oder ungültig war. DKB hat das auch so ähnlich mal probiert. Und den Ganzen Krams wohl in ein Kundenportal verlegt so ganz ohne Mail.