Willkommen im User-Forum von mailbox.org
 

Frage an die Experten : mta-sts TTL Einstellungen

Maban hat dies geteilt, 6 Monaten her
unbeantwortet

Hallo !

In der TXT Datei habe ich u.a. folgendes stehen :

mode: enforce

max_age: 15552000


Mit dieser Domain möchte ich nun zu einem anderen Anbieter wechseln,

habe aber aktuell das Problem, dass ich keine GMAIL eMails erhalte !

Was daran liegt, dass in der TXT Datei ja die Mailserver von mailbox.org hinterlegt sind.

Ich habe nun die Einträge wie folgt geändert :


mode: testing

max_age: 86400


Bringt dies etwas, oder welche TTL wird nun angewandt ?!

Oder wäre es besser auch die zugehörigen DNS Einträge zu löschen ?!


Schon jetzt vielen Dank für jeden Tipp ...


Gruß, Martin

Beste Antwort
Foto

Wenn Du MTA-STS deaktivieren möchtest, musst Du folgende Einträge in der mta-sts.txt Datei eintragen:


version: STSv1
mode: none
max_age: 86400


Anschliessend noch den ID-Wert im _mta-sts. DNS-TXT Record ändern.


Die Vorgehensweise um MTA-STS zu deaktivieren ist ganz gut bei Google beschrieben.

Antworten (3)

Foto
1

Hast du schon im Netz recherchiert? Ich bin mir unsicher, was du genau willst. Ich verstehe dich so, dass der Umzug in der Zukunft geplant ist, aber du schon jetzt keine Mails von gmail bekommst? Das wäre komisch.

Grundsätzlich zu einem Umzug: Die DNS-Einträge und die TXT-Datei zu löschen halte ich für keine Idee. Bei einer privaten Domain bin ich mir unsicher, ob überhaupt und wenn ja wie lange gmail & Co die Daten von dir speichern. Aber grundsätzlich speichert der Sender deine Daten der TXT-Datei (sofern ich mta-sts richtig verstehe) solange wie die max_age Zeit es vorgibt. Ist der DNS-Eintrag gelöscht, verwendet der sendende Mailprovider weiter die gespeicherten Daten. Statt den Eintrag zu löschen, müsstest du bei einem Umzug des Domain- und Mailproviders einen neuen Eintrag mit den neu korrekten Daten erstellen, und die ID erhöhen.

Kennst du diese beschreibung: https://www.frankysweb.de/mta-sts-strict-transport-security/ ?

Foto
1

Ja, Du bist auf dem richtigen Weg ! ;-)

Der andere Provider unterstützt mts leider nicht, da ich die DNS Einträge aber nicht gelöscht / angepasst habe,

sollte der Versand an meine Domain über einen Mailserver erfolgen, der eben nicht in der TXT Datei hinterlegt war.

Nachdem ich die Domain wieder zu mailbox.org zurück genommen hatte, traf eine " This is an aggregate TLS report from google.com " Nachricht ein, darin war genau das aufgeführt :

Die Mail sollte von Google an einen Mailserver zugestellt werden, der NICHT in der TXT hinterlegt ist ...

... also kam NICHTS an (beim anderen Provider)


Es gibt bei Google eine Möglichkeit für bestimmte DNS Einträge einen "flush" auszulösen :

https://developers.google.com/speed/public-dns/cache


Somit werde ich wohl eine neue TXT Datei mit kurzem TTL einstellen ...


Gruß, Martin

Foto
1

Zitat: "Der andere Provider unterstützt mts leider nicht".

Was meinst du damit? Wenn du bisher eine eigene Domain bei mailbox.org betrieben hast, und mta-sts in deinem Webspace und dem DNS hinterlegt hast, dann sind ja Webhosting und Mailhosting getrennt. Wenn du jetzt nur den Mailanbieter änderst, weil du mailbox.org nicht mehr verwenden willst, dann müsstest du bei deinem Webhoster nur die DNS-Daten und die TXT-Datei im Webspace auf den neuen Mailprovider anpassen. Die ID muss im DNS hochgesetzt werden, und in der TXT-Datei müssen die mx-Server vom neuen Provider angegeben werden.

Foto
1

Und genau die Änderungen an der TXT Datei habe ich nicht ausgeführt ....

... ebenfalls wusste ich nicht, dass Google *mts* unterstützt ... dann hätte ich VOR

dem Umzug der Domain ja auch die TXT angepasst.

Ich habe jetzt die Änderungen vorgenommen, mal sehen wie lange es dauert bis dann doch

eMails von Google empfangen werden ...

Man muss sich mit diesem Thema eben mehr auseinander setzen ... ;-)


Gruß, Martin

Foto
1

Wenn Du MTA-STS deaktivieren möchtest, musst Du folgende Einträge in der mta-sts.txt Datei eintragen:


version: STSv1
mode: none
max_age: 86400


Anschliessend noch den ID-Wert im _mta-sts. DNS-TXT Record ändern.


Die Vorgehensweise um MTA-STS zu deaktivieren ist ganz gut bei Google beschrieben.

Foto
1

Besten Dank für den Tipp !

Müssten die MX Einträge ebenfalls aus der Datei entfernt werden ?


Gruß, Martin

Foto
1

Man sollte die Google Anleitung lesen ... ;-)

Die MXs sind zu entfernen ...


Gruß, Martin

Foto
Foto
1

Hallo !

Nun bin ich mit drei Domains von mailbox.org umgezogen, bei zweien habe ich nun das Google Problem :

Es werden mir vom mailbox.org account aus keine eMails zu diesen zwei Domains zugestellt, ich erhalte folgende

Meldung :


no TLSA records found


Von Google aus erhalte ich dieses mal alle eMails ...

... ebenfalls habe ich die MTA-STS Datei auf "none" geändert !


Ebenfalls auffällig ist, nutze ich die Webgui von mailbox.org, schreibe ich Test-eMails an alle drei

Domains, wird mir bei denen, wo ich die Fehlermeldung erhalte, der grüne Daumen und DANE angezeigt ...

... bei der funktionierenden Domain jedoch nur " SSL ". Dies ist ja auch korrekt, da mein neuer Provider DANE nicht unterstützt ...

... ich warte noch etwas ab ... ;-)


Gruß, Martin

Foto
1

Da das Problem noch immer besteht, habe ich ein Support Ticket erstellt ...


Gruß, Martin

Foto
1

Leider kann ich mir nicht genau vorstellen, was bei dir schief läuft. Ein Ticket ist sicher eine gute Lösung.

Allerdings habe ich eine Hypothese: Mailbox.org hat so eine Art garantierte Transportverschlüsselung. Schicke ist von einem mailbox.org-Account Post an test@example.org, und unterstützen die MXe von example.org DANE und TLS1.3, dann speichert mailbox.org diese Verschlüsselungsqualität meines Wissens (vermutlich in einer Datenbank). Im Webmailer in der Empfängerzeile wird dann auch zukünftig die Verschlüsselungsqualität angezeigt (grünes Symbol, rotes Symbol, graues Symbol). Laut dem obigen Link ist ein Downgrade der Verschlüsselung (z.B. auf ohne DANE und nur TLS1.0 oder auf ganz ohne Verschlüsselung) wohl nicht möglich. Das soll MITM-Angriffe verhindern. Wenn du example.org ursprünglich bei mailbox.org hattest, dann speichert ... so meine Vermutung ... mailbox.org für die Domain example.org eine sehr hochwertige Verschlüsselung (DANE, TLS1.3), da mailbox.org da sehr fortschrittlich ist. Ziehst du deine Domain von mailbox.org weg zu einem anderen Anbieter, der für die Domain example.org dann eine schlechtere Verschlüsselung anbietet, dann könnte jemand der von einem mailbox.org Account eine mail an example.org verschickt ein Problem bekommen. Schließlich müsste mailbox.org ja die hohe Sicherheitseinstellung für die Domain example.org löschen. Ich weiß nicht, ob das automatisch passiert, wenn man eine externe Domain von mailbox.org weg transferiert ... und ich weiß auch nicht, wie streng diese Sicherung der best möglichen Verschlüsselung ist.

Diese Problematik ist meines Erachtens unabhängig von einer fehlerhaften mta-sts-Einstellung. Das wären also zwei getrennte Baustellen.

Foto
1

Hallo und vielen Dank für die sehr ausführliche Antwort ...

Das Seltsame an der Sache ist ja, dass dieses Problem bei 2 von 3 Domains besteht !

Wenn es bei allen 3 vorkommt, dann kann man es ja noch nachvollziehen ...


Wenn ich diese Themathik richtig verstanden habe, dann soll ja MTA-STS unabhängig von DANE arbeiten (können).

Voraussetzung ist nur, dass der Mailserver TLS unterstützt, was der Fall ist ...

Bisher hat sich GMail immer als sehr pingelig angestellt, dieses Problem konnte ich ja Dank des Tipps

vom "mbox" beheben ...

Ich bleibe am Ball ... ;-)


Gruß, Martin

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen