Willkommen im mailbox User Forum
Undelivered Mail Returned to Sender - no TLSA records found
veröffentlicht
Die betroffenen Domains wurden zu einem E-Mail-Anbieter ohne DNSSEC/DANE-Unterstützung umgezogen. Mailbox meint allerdings weiterhin, dass die Mailserver DANE unterstützen und verweigert die Zustellung: no TLSA records found.
Wie lange dauert das?
Vielleicht kann man dem User die Möglichkeit geben, dass die Domains bei solchen Problemen neu evaluiert werden.
Ich habe das gleiche Problem 
Keine Verbindung
Echtzeitbenachrichtigungen funktionieren möglicherweise nicht
Auch nach ca. 36 Stunden und mehreren Testmails, sind die E-Mails weiterhin unzustellbar. Die Anzeige ist noch immer falsch:
Eine dritte Domain beim selben Anbieter funktioniert hingegen problemlos.
Auch nach ca. 36 Stunden und mehreren Testmails, sind die E-Mails weiterhin unzustellbar. Die Anzeige ist noch immer falsch:
Eine dritte Domain beim selben Anbieter funktioniert hingegen problemlos.
Sinn und Zweck ist es, abgesenkte TLS-Sicherheitsmaßnahmen zu erkennen. Dies passiert extrem selten und "eigentlich" will jemand, der erfolgreich TLSA mit DANE & Co eingeführt hat, nicht mehr zu schlechteren unsicheren Methoden zurück. Sehr selten passiert das bei einem Wechsel des Domainregistrars, wenn jemand von einem DNSSEC-Registrar zu einem schlechten Non-DNSSSEC-Registrar wechselt.
Wir expiren die TLSA-Security-Policies in unseren Datenbanken nach <n> Tagen (weiß ich gerade selbst nicht auswendig).
Auf Anfrage und im Einzelfall expired unser Team natürlich auch manuell, wenn sich herrausstellt, dass der Downgrade Absicht ist - und nicht etwa der Effekt einer man-in-the-middle-Manipulation.
Bitte in diesen Einzelfällen ein kurzes Support-Ticket aufmachen, das Postmasterteam überprüft das dann schnell und unkompliziert. Und ansonsten ist ein Block bei einem derartigen Downgrad an dieser Stelle eben intendiert und gerade das erwünschte Verhalten.
Sinn und Zweck ist es, abgesenkte TLS-Sicherheitsmaßnahmen zu erkennen. Dies passiert extrem selten und "eigentlich" will jemand, der erfolgreich TLSA mit DANE & Co eingeführt hat, nicht mehr zu schlechteren unsicheren Methoden zurück. Sehr selten passiert das bei einem Wechsel des Domainregistrars, wenn jemand von einem DNSSEC-Registrar zu einem schlechten Non-DNSSSEC-Registrar wechselt.
Wir expiren die TLSA-Security-Policies in unseren Datenbanken nach <n> Tagen (weiß ich gerade selbst nicht auswendig).
Auf Anfrage und im Einzelfall expired unser Team natürlich auch manuell, wenn sich herrausstellt, dass der Downgrade Absicht ist - und nicht etwa der Effekt einer man-in-the-middle-Manipulation.
Bitte in diesen Einzelfällen ein kurzes Support-Ticket aufmachen, das Postmasterteam überprüft das dann schnell und unkompliziert. Und ansonsten ist ein Block bei einem derartigen Downgrad an dieser Stelle eben intendiert und gerade das erwünschte Verhalten.
Danke. Es wurden (allerdings) nur die MX Records geändert.
Und da die meisten E-Mail Anbieter weiterhin kein DNSSEC/DANE anbieten, wird das wohl häufiger vorkommen.
Danke. Es wurden (allerdings) nur die MX Records geändert.
Und da die meisten E-Mail Anbieter weiterhin kein DNSSEC/DANE anbieten, wird das wohl häufiger vorkommen.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.