DANE und DNSSEC bei eigener Domain

Vielleicht könnt ihr das ja auch noch mit in die Anleitung übernehmen wie man das richtig macht:

https://kb.mailbox.org/display/MBOKB/E-Mail-Adressen+der+eigenen+Domain+nutzen

"Diese Information müssen Sie mit DNSSEC sichern". Ist dem wirklich so? Muss bei Integration eigener Domains wirklich DNSSEC aktiv sein?

Ansich geht es wohl ohne, hatte heute aber zw einer @mailbox.org Adresse und einer Adresse mit eigenem Postfach einen Fehler "non DNSSEC destination" zurückbekommen.

Falls DNSSEC Pflicht ist, steht es aber nicht in der Doku - oder ich finnde es nicht. https://kb.mailbox.org/de/privat/e-mail-mit-eigener-domain/e-mail-adressen-mit-eigener-domain-nutzen/

Eigene Domain geht auch ohne DNSSEC. DANE allerdings hängt an DNSSEC.

Ja, wenn du MTA-STS nutzen willst, benötigst du einen Mini-Webspace. Eine Anleitung dafür findest du hier im Forum.

Ich habe von den Anbietern die DNSSEC anbieten, nur UDmedia und INWX getestet. Bei Udmedia ist (zumindest für DE-Domains) standardmäßig aktiviert, ohne dass man etwas einstellen muss oder kann. Bei INWX gibt es eine Einstellmöglichkeit, DNSSEC zu aktivieren, oder deaktivieren. Sofern du bei deinem Anbieter die DNSSEC-DNS-Einträge wirklich von Hand incl. Schlüssel selber erstellen muss, halte ich das für ziemlich "advanced". Bei welchem Domainanbieter bist du denn?

Was meinste du mit "zertifizierte mbo-Server nutzen"? Unabhängig von DNSSEC, DANE und anderen Spielchen muss zum Mailempfang über die eigene Domain ein entsprechender Alias bei mailbox.org in den Einstellungen der WEbmailoberfläche eingereichtet sein, sowie im DNS der eigenen Domain die mx-Server von mailbox.org gelistet sein müssen.

Ich bin bei hosting.de. In den erweiterten Einstellungen habe ich gefunden, dass ich DNSSEC aktivieren kann. Das habe ich aktiviert. Modus steht auf NSEC3. Es gibt dann noch den Schalter "Keys bei Domain hinterlegen", dort habe ich nichts hinterlegt. Es funktioniert aber nicht. Muss ich noch irgendwelche Sachen in den DNS-Einstellungen hinterlegen?

Kannst du "Keys bei Domain hinterlegen" als Schalter aktivieren, oder musst du dann dort einen Key eingeben? In der Hilfe bei hosting.de ist zu lesen: "DNSSEC können Sie in dem “Experten-Einstellungen” der Domain des Benutzer-Interfaces von hosting.de aktivieren. Aktivieren Sie dort bitte die beiden Optionen “DNSSEC” und “Keys bei Domain hinterlegen”. Das klingt eher nach einem Klick, als nach kompliziert.

Was sagen die Testportale https://dnssec-analyzer.verisignlabs.com/ und https://dnsviz.net/ ?

Ich habe in den Experteneinstellungen DNSSEC aktiviert, ohne separate Keys zu hinterlegen. Bei den DNS-Einstellungen verweise ich lediglich mit mx auf die mx-mailbox.org-Server. (mxext1.mailbox.org usw.)

Wenn ich z.B. bei internet.nl den Test mache, kommt

Bei Analyzer von verisign kommen überall grüne Haken, außer in der Rubrik example.tld "No DS records found for example.tld in the de zone".

Oder geht hinsichtlich DNSSEC nicht mehr? Wenn ich meine echte mailbox.org-Adresse teste, kommt bei Mecsa ebenfalls bei DNSSEC ein score von null.

Irgendwas funktioniert meines Erachtens bei dir nicht. Der Test von Verisign für deine Domain sollte komplett grün sein, kein einziger roter Haken. Auch sollte bei der Seite Internet.nl bei der "Email address domain" alles grün sein, also sowohl bei DNSSEC existence, als auch bei DNSSEC validity. Das ist ja ein DNSSEC Test deiner Domain.

Könntest du bei den Einstellungen bei deinem Provider mal bei der Einstellung "Keys bei Domain hinterlegen" den Schalter aktivieren? Ich hoffe dass das nur ein Schalter ist, und nichts eingegeben werden muss. Dann mindestens eine Stunde warten (wegen TTL) und die Tests von Verisign und Internet.nl nochmal machen. Sofern dann bei Verisign immer noch nicht alles grün ist, würde ich ein Ticket bei deinem Webhoster aufmachen, und um Support bitten. Die sollen dann prüfen, ob DNSSEC für deine Domain korrekt läuft.

Der Fehler bei MECSA bezüglich DNSSEC ist nochmal was anderes: Dass der Mecsa-Test bei mailbox.org unter Verwendung von mailbox.org-Adressen Fehler meldet, wurde hier im Forum schon thematisiert. Leider ohne Antwort vom Support. Der Test liefert keine vollen 5 Punkte. Grund ist, dass der Mecsa-Test aktuell mal wieder die DNSSEC-Einstellung bei mailbox.org nicht erkennt. Das hat sich in der letzten Zeit ein paar mal geändert. Mal gings, dann wieder nicht. Die Testseiten geben hin und wieder einen Timeout aus. Warum das so ist, und ob das ein relevantes Problem ist, weiß ich nicht. Der Support hat sich dazu wie gesagt noch nicht geäußert. Und mit der eigenen Domain kannst du beim Mecsa-Test halt nicht besser sein, als wenn du die mailbox.org-Mail verwendest.

Habe den Schalter keys mal angeschalten, aber keine eigenen Keys in der separaten Eingabemaske hinterlegt. Und siehe da, keine roten Haken mehr.

Hätte ich ja auch mal vorher testen können...

Danke für deine Hilfe und Geduld.

Ich habe meine Domains bei namecheap.com und muss dort für dnssec KeyTag, Algorithmus, Digest Type und Digest angeben - siehe auch https://www.namecheap.com/support/knowledgebase/article.aspx/9722/2232/managing-dnssec-for-domains-pointed-to-custom-dns/

Brauch ich da jetzt was von mailbox.org ?

Nein. Möglicherweise funktioniert DNSSEC bei Namecheap nur mit externen DNS Servern!? Dann musst du natürlich die Schlüssel-Details dem Registrar bekannt geben. Mit Mailbox.org hat das nichts zu tun.

Eventuell musst du Premium DNS bei Namecheap dazu erwerben!?

https://www.namecheap.com/support/knowledgebase/article.aspx/9718/2232/nameservers-and-tlds-supportedunsupported-by-dnssec/

Ich habe meine domains bei namecheap und DNS ist cloudflare. So wie ich das aber verstanden habe ist dnssec für externe DNS bei namecheap integriert. Frage mich nur wo ich da jetzt was machen muss.

Hatte jetzt zuletzt das Problem, dass meine Mails als Spam einsortiert wurden. DKIM und SPF habe ich nun erledigt und will nun schauen, was noch als Absicherung geht.

Hast du dir die offizielle Cloudflare Dokumentation dazu durchgelesen?

https://support.cloudflare.com/hc/de/articles/360006660072-DNSSEC-in-Cloudflare-DNS-Grundlegende-Informationen-und-Konfiguration

Ok - da habe ich dann wohl komplett was falsch verstanden.

Vielen Dank.

Neben spf und DKIM gibt es auch noch DMARC. Vermutlich hast du es schon gemacht, und nur unscharf formuliert, aber wenn es hauptsächlich um eine gewünschte geringere Spamwahrscheinlichkeit geht dann ist dmarc sinnvoller als DNSSEC. Siehe auch die Anleitung von mailbox.org. Mangels Fehler habe ich dmarc schon seit längerem auf p=reject gestellt.