DKIM, SPF und DMARC-Konfiguration für lists.bubuit.net

Problemstellung

E-Mails, die von lists.bubuit.net gesendet wurden, wurden von Gmail und anderen Mailservern mit folgendem Fehler abgelehnt:

550-5.7.26 Your email has been blocked because the sender is unauthenticated.
550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM.
550-5.7.26 Authentication results: DKIM = did not pass, SPF did not pass.

Ursache

lists.bubuit.net läuft als LXC-Container auf mail.bubuit.net.
lists.bubuit.net hatte keinen expliziten SPF-Record.
DKIM-Signaturen wurden nicht für lists.bubuit.net erstellt.
Die DMARC-Policy war nicht ausreichend für Reporting und Schutz.
mail.bubuit.net sollte zentral für die DKIM-Signierung genutzt werden.

Lösungsschritte

1. SPF-Record für `lists.bubuit.net` setzen

Der SPF-Record wurde in der DNS-Zone (db.bubuit.net) ergänzt:

lists.bubuit.net. IN TXT "v=spf1 a mx include:mail.bubuit.net -all"

Danach wurde die Änderung überprüft:

dig TXT lists.bubuit.net +short @ns1.dynproxy.net

2. DKIM-Signierung über `mail.bubuit.net` aktivieren

Anstatt OpenDKIM direkt auf lists.bubuit.net zu betreiben, wurde entschieden, die Mails über mail.bubuit.net zu signieren.

2.1 DKIM-Schlüssel für `lists.bubuit.net` nutzen

lists.bubuit.net verwendet denselben DKIM-Schlüssel wie mail.bubuit.net, sodass keine separate Schlüsselgenerierung erforderlich war. Stattdessen wurde lists.bubuit.net in den OpenDKIM-Konfigurationsdateien hinzugefügt.

3. OpenDKIM mit Postfix auf `mail.bubuit.net` verbinden

3.1 `KeyTable` auf `mail.bubuit.net` aktualisieren (`/etc/opendkim/KeyTable`)

bubuit    bubuit.net:mail:/etc/opendkim/keys/bubuit.net/mail.private
lists    lists.bubuit.net:mail:/etc/opendkim/keys/bubuit.net/mail.private

3.2 `SigningTable` anpassen (`/etc/opendkim/SigningTable`)

*@bubuit.net    bubuit
*@lists.bubuit.net    bubuit

3.3 `TrustedHosts` anpassen (`/etc/opendkim/TrustedHosts`)

127.0.0.1
localhost
10.0.3.0/24
bubuit.net
lists.bubuit.net

Danach wurden OpenDKIM und Postfix auf mail.bubuit.net neu gestartet:

systemctl restart opendkim postfix

4. DMARC-Policy verbessern

Die DMARC-Policy wurde angepasst, um Reports an postmaster@bubuit.net zu senden:

_dmarc.bubuit.net. IN TXT "v=DMARC1; p=none; rua=mailto:postmaster@bubuit.net"
_dmarc.lists.bubuit.net. IN TXT "v=DMARC1; p=none; rua=mailto:postmaster@bubuit.net"

5. Test der neuen Konfiguration

Nach der Anpassung wurden Testmails gesendet:

echo "Test" | mail -s "DKIM-Test" deine@email.com

Danach wurde der Mail-Header überprüft, um sicherzustellen, dass DKIM und SPF erfolgreich sind.

Erwartetes Ergebnis:

Authentication-Results: mx.google.com;
 spf=pass (lists.bubuit.net)
 dkim=pass header.d=bubuit.net
 dmarc=pass header.from=lists.bubuit.net

Fazit

✅ SPF für lists.bubuit.net hinzugefügt
✅ OpenDKIM für lists.bubuit.net über mail.bubuit.net aktiviert
✅ DMARC-Policy für besseres Monitoring ergänzt
✅ Tests erfolgreich – Mails werden jetzt akzeptiert 🚀

Problemstellung

Ursache

Lösungsschritte

1. SPF-Record für lists.bubuit.net setzen

2. DKIM-Signierung über mail.bubuit.net aktivieren

2.1 DKIM-Schlüssel für lists.bubuit.net nutzen

3. OpenDKIM mit Postfix auf mail.bubuit.net verbinden

3.1 KeyTable auf mail.bubuit.net aktualisieren (/etc/opendkim/KeyTable)

3.2 SigningTable anpassen (/etc/opendkim/SigningTable)

3.3 TrustedHosts anpassen (/etc/opendkim/TrustedHosts)