Beantwoord

DNS entries voor mailserver mogelijk bij KPN?

  • 20 april 2017
  • 11 reacties
  • 1013 keer bekeken

Ik draai een mailserver met Postfix en Dovecot op een pc thuis.. Ik he b deze mailserver via het IP adres lopen, wat ik van KPN heb gekregen.
Om ervoor te zorgen dat er mail ontvangen en verstuurd kan worden, zonder als spammer beoordeeld te worden, moet ik een aantal instellingen in de DNS aanpassen, zoals PTR, DKIM, rDNS en SPIF records.

Ik heb gekeken of het via de Experiabox V10 kan, maar ik heb het idee, dat ik daar met het oog op wat ik wil bereiken, niet zo veel in kan stellen. Toch?
Weet iemand hoe ik dit moet aanpakken? Of .. is het gewoon niet mogelijk?
icon

Beste antwoord door RobinFlikkema 20 april 2017, 16:51

Scroll naar beneden voor het korte antwoord

Achtergrondinformatie

Email servers checken meestal een paar dingen:
  • Of het IP-adres een PTR heeft die via een A-record teruglinkt naar hetzelfde IP-adres.
  • Of het A-record wat overeenkomt met de HELO overeenkomt met het IP-adres van dat A-record
  • Als er SPF is wordt er gekeken over deze mailserver wel email mag versturen namens het domein en wat DMARC zegt over SPF
  • Als er DKIM is wordt er gekeken of de email ondertekend is met de juiste keys en wat DMARC zegt over DKIM
  • Of het domein één of meer MX-records heeft (om replies te ontvangen)
  • Of het domein op een blacklist staat
  • Of de content van de email geen dingen bevat die volgens de ingestelde policy niet mogen
Sommige mailservers houden reputaties bij van domeinen en zullen "nieuwe" domeinen automatisch in de spammap zetten totdat genoeg gebruikers het als "niet-spam" markeren. (Hotmail *kuch*)

PTR

PTR moet de IP-eigenaar instellen en dat wordt op dit moment niet gedaan. Het niet kunnen aanpassen hiervan heeft praktisch geen consequenties zolang de rest maar op orde is. De PTR die KPN standaard aan je extern IP-adres heeft zitten is namelijk gewoon geldig en heeft een bijbehorend A-record.

SPF

SPF is eigenlijk heel simpel, het is een stukje tekst dat aangeeft welke IP-adressen email mogen versturen namens het domein.
Zie ook de meest gemaakte fouten

DKIM

DKIM is het ondertekenen van emails. Het werkt met een keypair waarbij je de public key aan iedereen geeft en met de private key berichten ondertekend. Hier zit een heel mooi en moeilijk algoritme achter die het mogelijk maakt om met de public key te verifiëren of de bijbehorende private key is gebruikt om te ondertekenen zonder de private key te weten (asymmetrische cryptografie)

DMARC

DMARC is een "systeem" waarmee de domeineigenaar kan aangeven wat ontvangende emailservers moeten doen wanneer ze emails van het domein krijgen. Hiermee kan je dus heel streng aangeven dat alleen emails met kloppende SPF en DKIM door mogen worden gelaten en dat de rest gedropt moet worden.
Ook kun je via DMARC aangeven dat je rapportages wilt ontvangen van ontvangende mailservers over wat die mailserver deed met emails van jouw domein en vanaf welk IP-adres die emails kwamen.


Of al deze records kloppen kan je o.a. bij Gmail heel makkelijk verifiëren via "origineel bekijken":



Antwoord

Om nu concreet antwoord te geven op je vragen

Ik heb een domein bij TransIP geregistreerd, die gekoppeld is aan het externe ip van de experiabox v10. (...)
Ik begrijp uit juliie reacties dat dat alleen mogelijk is met DKIM en SPF en niet met rDNS?.
Het is inderdaad niet mogelijk om een PTR (rDNS) record aan te maken voor je externe IP. DKIM, SPF en DMARC kan je gewoon aanmaken.
(...) Ik heb gekeken of het via de Experiabox V10 kan, maar ik heb het idee, dat ik daar met het oog op wat ik wil bereiken, niet zo veel in kan stellen. Toch?
Weet iemand hoe ik dit moet aanpakken? Of .. is het gewoon niet mogelijk?
Het is inderdaad niet mogelijk om dit op de V10 te doen maar dit hoeft ook helemaal niet. Deze records voeg je gewoon toe aan de DNS van de domein.

Korte antwoord:

Ik denk dat je je vraag verkeerd aan TransIP hebt gesteld want DKIM, SPF en DMARC moet je gewoon bij hen instellen (netzoals MX). (Technisch gezien: Je moet deze records instellen op de nameservers die autoritatief zijn voor de DNS Zone waar jouw domeinnaam tot behoort.)
Voorbeeld:



Robin
Bekijk origineel

11 reacties

Reputatie 4
Badge +2
Voor zover ik weet kun je in de EB inderdaad geen reverse DNS en dergelijke instellen. Heb je een domein? Dan kun je wellicht via bv CloudFlare wél dit soort dingen configureren. Zet wel hun DDoS beveiliging en andere services uit anders kun je niet met de correcte poorten verbinden.
Sowieso raad ik je aan om een domeinnaam te nemen, anders ligt je IP bij elk mailtje wat je stuurt op straat en dat is een beveiligingsrisico.

Overigens ben ik wel geinteresseerd naar je setup, ik wil namelijk ook al een tijdje een eigen mailserver gaan draaien op een VPS die ik heb. Heb je een guide gevolgd en ben je tegen specifieke problemen aangelopen?
Reputatie 6
Badge +8
Ik stuur e-mails via een Raspberry Pi (niet ontvangen) en dat werkt perfect 🙂 zolang in het SPF record van de desbetreffende domeinnaam jouw IP Adres vermeldt staat komt het goed. Verder heb ik ook DKIM geregeld. De ReverseDNS van het KPN IP Adres kan helaas niet worden aangepast 😞
Reputatie 7
Badge +30
De hostname die KPN standaard gebruikt kan je niet gebruiken hiervoor, maar je kan gewoon email versturen als je een eigen domein aan je extern IP koppelt. Daar kan je dan DKIM, SPF en DMARC op configureren en klaar.
Ik heb een domein bij TransIp gereigistreerd, die gekoppeld is aan het externe ip van de experiabox v10.
ik heb de bovenstaande vraag ook aan TransIp gesteld.
Hier kreeg ik als suggestie om de DNS records bij KPN in te stellen.
Ik begrijp uit juliie reacties dat dat alleen mogelijk is met DKIM en SPF en niet met rDNS?.
Reputatie 7
Badge +30
Scroll naar beneden voor het korte antwoord

Achtergrondinformatie

Email servers checken meestal een paar dingen:
  • Of het IP-adres een PTR heeft die via een A-record teruglinkt naar hetzelfde IP-adres.
  • Of het A-record wat overeenkomt met de HELO overeenkomt met het IP-adres van dat A-record
  • Als er SPF is wordt er gekeken over deze mailserver wel email mag versturen namens het domein en wat DMARC zegt over SPF
  • Als er DKIM is wordt er gekeken of de email ondertekend is met de juiste keys en wat DMARC zegt over DKIM
  • Of het domein één of meer MX-records heeft (om replies te ontvangen)
  • Of het domein op een blacklist staat
  • Of de content van de email geen dingen bevat die volgens de ingestelde policy niet mogen
Sommige mailservers houden reputaties bij van domeinen en zullen "nieuwe" domeinen automatisch in de spammap zetten totdat genoeg gebruikers het als "niet-spam" markeren. (Hotmail *kuch*)

PTR

PTR moet de IP-eigenaar instellen en dat wordt op dit moment niet gedaan. Het niet kunnen aanpassen hiervan heeft praktisch geen consequenties zolang de rest maar op orde is. De PTR die KPN standaard aan je extern IP-adres heeft zitten is namelijk gewoon geldig en heeft een bijbehorend A-record.

SPF

SPF is eigenlijk heel simpel, het is een stukje tekst dat aangeeft welke IP-adressen email mogen versturen namens het domein.
Zie ook de meest gemaakte fouten

DKIM

DKIM is het ondertekenen van emails. Het werkt met een keypair waarbij je de public key aan iedereen geeft en met de private key berichten ondertekend. Hier zit een heel mooi en moeilijk algoritme achter die het mogelijk maakt om met de public key te verifiëren of de bijbehorende private key is gebruikt om te ondertekenen zonder de private key te weten (asymmetrische cryptografie)

DMARC

DMARC is een "systeem" waarmee de domeineigenaar kan aangeven wat ontvangende emailservers moeten doen wanneer ze emails van het domein krijgen. Hiermee kan je dus heel streng aangeven dat alleen emails met kloppende SPF en DKIM door mogen worden gelaten en dat de rest gedropt moet worden.
Ook kun je via DMARC aangeven dat je rapportages wilt ontvangen van ontvangende mailservers over wat die mailserver deed met emails van jouw domein en vanaf welk IP-adres die emails kwamen.


Of al deze records kloppen kan je o.a. bij Gmail heel makkelijk verifiëren via "origineel bekijken":



Antwoord

Om nu concreet antwoord te geven op je vragen

Ik heb een domein bij TransIP geregistreerd, die gekoppeld is aan het externe ip van de experiabox v10. (...)
Ik begrijp uit juliie reacties dat dat alleen mogelijk is met DKIM en SPF en niet met rDNS?.
Het is inderdaad niet mogelijk om een PTR (rDNS) record aan te maken voor je externe IP. DKIM, SPF en DMARC kan je gewoon aanmaken.
(...) Ik heb gekeken of het via de Experiabox V10 kan, maar ik heb het idee, dat ik daar met het oog op wat ik wil bereiken, niet zo veel in kan stellen. Toch?
Weet iemand hoe ik dit moet aanpakken? Of .. is het gewoon niet mogelijk?
Het is inderdaad niet mogelijk om dit op de V10 te doen maar dit hoeft ook helemaal niet. Deze records voeg je gewoon toe aan de DNS van de domein.

Korte antwoord:

Ik denk dat je je vraag verkeerd aan TransIP hebt gesteld want DKIM, SPF en DMARC moet je gewoon bij hen instellen (netzoals MX). (Technisch gezien: Je moet deze records instellen op de nameservers die autoritatief zijn voor de DNS Zone waar jouw domeinnaam tot behoort.)
Voorbeeld:



Robin
Robin, hartelijk dank voor je goede tutorial! Allemaal heel erg bedankt dat jullie aandacht aan de mailserver wilden spenderen!

Aan aeTios:
Ik heb onlangs de Linode tutorial over het opzetten van een mailserver met Postfix, Dovecot en MySql gebruikt.
https://www.linode.com/docs/email/postfix/email-with-postfix-dovecot-and-mysql
Het is bedoeld voor Debian/Ubuntu, maar ik denk dat je er op ondere distro's er ook wel mee uit de voeten kunt. Je kunt de codeblokken, die voor jouw setup relevant zijn, makkelijk kopieren en in de configuratiebestanden van dovecot. postfix enz. plakken.
Ik heb jarenlang een mailserver op een VPS gehad, ik heb wel eens problemen gehad met een upgrade van Debian, die de mailserver 'platlegde'.
Over het algemeen kun je met de meldingen in /var/log/mail.log en /var/log/mail.err prima zoekacties uitvoeren om je mailserver weer gangbaar te maken.
Het lastigste van het opzetten van de mailserver vond ik het invullen van de DNS records, wanneer je de mailserver van je VPS naar een thuisserver verhuist. Maar goed, als jij daar tzt tegenaanloopt heb je met de gegeven antwoorden in dit topic grote kans, dat het invullen een stuk soepeler gaat lopen dan bij mij...
Reputatie 4
Badge +2
Robin en kzpm, super, gaat mij zeker helpen 🙂
Nog even een update over het dynamische ip adres:
Via de servicedesk van KPN begreep ik dat een PTR record alleen mogelijk is wanneer je een vast ip adres hebt. Die van mij is dynamisch, dus is het gewoon niet mogelijk om thuis je mailserver ook voor uitgaande mail te gebruiken. Behalve wanneer je mail binnen de domeinen verstuurt, die je zelf beheert.
Ik heb nu een vast ip aangevraagd.
Reputatie 7
Badge +30
Ik noem dit onzin.

Het KPN IP is theoretisch gezien dynamisch. Maar deze zal praktisch nooit veranderen. Een PTR is bij consumenten pakketten gewoon niet mogelijk en een vast IP overigens ook niet.
Echt vaste IPs worden alleen bij enkele zakelijke pakketten geleverd.

Een dynamisch IP met een consumenten pakket is gewoon te gebruiken om email te versturen. Je zal alleen standaard op 2 blacklists staan maar die kun je zelf verwijderen mocht dat een probleem zijn (heb ik ook gedaan)

Waar heb je een vast IP aangevraagd?
Ik heb het verzoek voor een vast ip gestuurd aan domain@kpn.com.
Als reactie kreeg dat ik het adres via mijn account manager moet aanvragen.. (Geen idee wie dat is, ik denk dat men ervan uitgaat dat ik een zakelijk abo heb..)
Maar gezien jouw reactie heb ik de indruk dat contact opnemen met domain@kpn.com niet nodig is?
Reputatie 7
Badge +30
Nee, dit kan alleen als je een zakelijk pakket afneemt. Dan krijg je ook een accountmanager toegewezen.

Reageer