Willkommen im User-Forum von mailbox.org
 

DANE und DNSSEC bei eigener Domain

7560363 hat dies geteilt, 5 Jahren her
beantwortet

Ist DANE und DNSSEC auch bei der Verwendung von einer eigenen Domain aktiv?

Kommentare (2)

Foto
1

Bei einer eigenen Domain verwalten Sie die DNS Einstellungen und müssen sich selbst um die Absicherung der DNS Informationen kümmern, die Sie veröffentlichen. Für alles was xxxx.mailbox.org heißt, ist DANE und DNSSEC aktiv.


Beispiel:


Sie verweisen in Ihrer Domain im MX Record auf den zuständigen Mailserver für Ihre Domain. Die Information die Sie in Ihrer Domain veröffentlichen ist: Mailserver für <example.com> sind "mx1.mailbox.org" und "mx2.mailbox.org". Diese Information müssen Sie mit DNSSEC sichern.


Dann möchte man natürlich die IP Adrese des "mx1.mailbox.org" wissen, um die Mails für Ihre Domain dort bei diesem Server abzuliefern. Die IP Adressen veröffentlichen wir und diese Informationen sind sind mit DNSSEC signiert. DANE/TLSA Records sind für diese Server ebenfalls publiziert im DNS.

Foto
1

Vielleicht könnt ihr das ja auch noch mit in die Anleitung übernehmen wie man das richtig macht:

https://kb.mailbox.org/display/MBOKB/E-Mail-Adressen+der+eigenen+Domain+nutzen

Foto
1

was meinst Du mit "das"? DNSSEC musst Du beim Domainprovider einstellen, sofern der das überhaupt hat. Der Rest ist in der Anleitung beschrieben.

Foto
Foto
1

Hallo,

ich habe meine Domain mit mailbox.org verbunden und es funktioniert soweit auch alles.

Beim Mecsa-Test fehlen allerdings MTA-STS sowie DNSSEC. Mein Hosting-Anbieter unterstützt soweit ich sehe DNSSEC, weshalb ich das gern einrichten möchte.

Ich habe aber nur die DNSSEC-Eingabemasken, bei denen ich auch die Schlüssel definieren muss.

Hier in Thread wird geschrieben, dass man die zertifizierten mbo-Server nutzen kann und auf diese verweisen kann. Wie müsste ich die Einstellungen setzen? Das wären doch dann Einträge in der DNS-Maske, oder?

Kann jemand von euch die entsprechenden Einträge posten?

Ich habe mich die letzten Tage viel mit dem Thema beschäftigt, aber die vielen Sicherungsmechanismen sind für einen Neuling in dem Thema doch etwas tricky.


Andere Frage? Wenn ich MTA-STS nutzen wöllte, müsste ich die Konfigdatei auf meinem Webspace speichern. Da ich die Domain aber nur für mail nutze und keinen webspace habe, kann ich MTA-STS dann nicht nutzen? Richtig?


Danke und Grüße

Foto
1

Ja, wenn du MTA-STS nutzen willst, benötigst du einen Mini-Webspace. Eine Anleitung dafür findest du hier im Forum.

Ich habe von den Anbietern die DNSSEC anbieten, nur UDmedia und INWX getestet. Bei Udmedia ist (zumindest für DE-Domains) standardmäßig aktiviert, ohne dass man etwas einstellen muss oder kann. Bei INWX gibt es eine Einstellmöglichkeit, DNSSEC zu aktivieren, oder deaktivieren. Sofern du bei deinem Anbieter die DNSSEC-DNS-Einträge wirklich von Hand incl. Schlüssel selber erstellen muss, halte ich das für ziemlich "advanced". Bei welchem Domainanbieter bist du denn?

Was meinste du mit "zertifizierte mbo-Server nutzen"? Unabhängig von DNSSEC, DANE und anderen Spielchen muss zum Mailempfang über die eigene Domain ein entsprechender Alias bei mailbox.org in den Einstellungen der WEbmailoberfläche eingereichtet sein, sowie im DNS der eigenen Domain die mx-Server von mailbox.org gelistet sein müssen.

Foto
1

Ich bin bei hosting.de. In den erweiterten Einstellungen habe ich gefunden, dass ich DNSSEC aktivieren kann. Das habe ich aktiviert. Modus steht auf NSEC3. Es gibt dann noch den Schalter "Keys bei Domain hinterlegen", dort habe ich nichts hinterlegt. Es funktioniert aber nicht. Muss ich noch irgendwelche Sachen in den DNS-Einstellungen hinterlegen?

Foto
1

Kannst du "Keys bei Domain hinterlegen" als Schalter aktivieren, oder musst du dann dort einen Key eingeben? In der Hilfe bei hosting.de ist zu lesen: "DNSSEC können Sie in dem “Experten-Einstellungen” der Domain des Benutzer-Interfaces von hosting.de aktivieren. Aktivieren Sie dort bitte die beiden Optionen “DNSSEC” und “Keys bei Domain hinterlegen”. Das klingt eher nach einem Klick, als nach kompliziert.


Was sagen die Testportale https://dnssec-analyzer.verisignlabs.com/ und https://dnsviz.net/ ?

Foto
1

Ich habe in den Experteneinstellungen DNSSEC aktiviert, ohne separate Keys zu hinterlegen. Bei den DNS-Einstellungen verweise ich lediglich mit mx auf die mx-mailbox.org-Server. (mxext1.mailbox.org usw.)

6f7df04533a251ba49fc35829a3e8267


Wenn ich z.B. bei internet.nl den Test mache, kommt

2016907b8c0c2c08cc479ba638ace1c3

Bei Analyzer von verisign kommen überall grüne Haken, außer in der Rubrik example.tld "No DS records found for example.tld in the de zone".

Oder geht hinsichtlich DNSSEC nicht mehr? Wenn ich meine echte mailbox.org-Adresse teste, kommt bei Mecsa ebenfalls bei DNSSEC ein score von null.

Foto
1

Irgendwas funktioniert meines Erachtens bei dir nicht. Der Test von Verisign für deine Domain sollte komplett grün sein, kein einziger roter Haken. Auch sollte bei der Seite Internet.nl bei der "Email address domain" alles grün sein, also sowohl bei DNSSEC existence, als auch bei DNSSEC validity. Das ist ja ein DNSSEC Test deiner Domain.

Könntest du bei den Einstellungen bei deinem Provider mal bei der Einstellung "Keys bei Domain hinterlegen" den Schalter aktivieren? Ich hoffe dass das nur ein Schalter ist, und nichts eingegeben werden muss. Dann mindestens eine Stunde warten (wegen TTL) und die Tests von Verisign und Internet.nl nochmal machen. Sofern dann bei Verisign immer noch nicht alles grün ist, würde ich ein Ticket bei deinem Webhoster aufmachen, und um Support bitten. Die sollen dann prüfen, ob DNSSEC für deine Domain korrekt läuft.


Der Fehler bei MECSA bezüglich DNSSEC ist nochmal was anderes: Dass der Mecsa-Test bei mailbox.org unter Verwendung von mailbox.org-Adressen Fehler meldet, wurde hier im Forum schon thematisiert. Leider ohne Antwort vom Support. Der Test liefert keine vollen 5 Punkte. Grund ist, dass der Mecsa-Test aktuell mal wieder die DNSSEC-Einstellung bei mailbox.org nicht erkennt. Das hat sich in der letzten Zeit ein paar mal geändert. Mal gings, dann wieder nicht. Die Testseiten geben hin und wieder einen Timeout aus. Warum das so ist, und ob das ein relevantes Problem ist, weiß ich nicht. Der Support hat sich dazu wie gesagt noch nicht geäußert. Und mit der eigenen Domain kannst du beim Mecsa-Test halt nicht besser sein, als wenn du die mailbox.org-Mail verwendest.

Foto
1

Habe den Schalter keys mal angeschalten, aber keine eigenen Keys in der separaten Eingabemaske hinterlegt. Und siehe da, keine roten Haken mehr.

Hätte ich ja auch mal vorher testen können...

Danke für deine Hilfe und Geduld.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen