Einrichten der Mails mit DKIM inkl. Zertifikate für FTP, SMTP und ISPC

Die aktuell genutzten Zertifikate für den Server befinden sich unter
/etc/letsencrypt/live/$hostname/

ISPConfig
cd /usr/local/ispconfig/interface/ssl
ln -s /etc/letsencrypt/live/www.lifeforce.de/fullchain.pem ispserver.crt
ln -s /etc/letsencrypt/live/www.lifeforce.de/privkey.pem ispserver.key
cat ispserver.{key,crt} > ispserver.pem
chmod 600 ispserver.pem

SMTP
cd /etc/postfix
ln -s /etc/letsencrypt/live/www.lifeforce.de/fullchain.pem smtpd.cert
ln -s /etc/letsencrypt/live/www.lifeforce.de/privkey.pem smtpd.key

FTP (abhängig von ISPC-SSL oberhalb)
/etc/ssl/private
ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem pure-ftpd.pem

Restart alles Services (Vorlage)
service apache2 restart;service postfix restart;service dovecot restart;service pure-ftpd-mysql restart

1. PTR
Die Domain (ohne Subdomain www – OHNE) in ISPC anlegen,falls man das Zertifikat vom Hoster nehmen möchte – davon ist DRINGEND abzuraten, da viele SMTP diese Mails dann direkt ablehnen.
Den Hostname des Anbieters aufzulösen hat den Vorteil, dass bei Bedarf durch die SSL-Integration in ISPC ein gültiges, nicht selbst-unterschriebenes Zertifikat im Dateisystem vorrätig ist.
vxxxx.quicksrv.de

2.
Den ReverseDNS (beim Serverhoster) auf eine Domain setzen, die auf den Server geroutet ist.
Inkl. Subdomains, am Besten mit Wildcard (*) ebenfalls geroutet.
MX www.lifeforce.de. (mit Punkt am Ende!)
Als FQDN dann also in meinem Falle

3.
In der im ReverseDNS genutzten Domain muss ein gültiger MX-Eintrag vorhanden sein.
Dazu empfehlen sich auch weitere Record zum Schutz, wie folgend:

4.
DKIM-Integration über ISPConfig unter Mails

Den Key dann wie folgt im DNS integrieren:

1 IP-Adresse der Domain (ServerIP)
2 Wildcard Subdomain
3 Subdomain von ark.dieverlorenen.net
4 Der DKIM-Eintrag
5 MX zu www.lifeforce.de.  (Punkt am Ende!)
6 mail – Subdomaineintrag – an sich unnötig (inzwischen überflüssig, aber aus Kompatibilität noch behalten)
7 SPF-Record mit all – Einstellung
8 ts Subdomain
9 Eintrag für www – ebenfalls eine Subdomain
10 _dmarc Antispam mit reject als Einstellung

Guter Test unter
https://mxtoolbox.com/SuperTool.aspx?action=smtp%3adieverlorenen.net&run=toolpage#

Zusatz 2020

Am Besten die Subdomains für smtp und pop der Domain im DNS (ist ja Pflicht) und als Subdomain per HTTP einrichten. Das SSL Zertifikat wird von einigen Anbietern genutzt.