Willkommen im User-Forum von mailbox.org
 

Einschätzung "schlechter Werte" beim Sicherheitscheck bei eigener Domain

9923157 hat dies geteilt, 14 Monaten her
unbeantwortet

Hallo Zusammen,

habe mich heute mit eigener Domain auseinandergesetzt und funktioniert grundsätzlich gut.

Habe dann mal den E-Mail Anbieter Sicherheitscheck von der EU (MESCA) genommen und mich erst mal ein bißchen erschrocken. Aber letztendlich liegts an SPF, DKIM, DMARC und DNSSEC. Alle 0%.

SPF konnte ich noch auf 75% bekommen (bin über "-all" gestolpert, der Provider verlangt "-all"), was aber hier als "?all" ausgewiesen wird, vermutlich deshalb nur 75%.


DKIM habe ich hier gelesen, kommt als Privater eher nicht in Frage. DMARC und DNSSEC habe ich (noch) nicht weiter verfolgt. Es gab hier zu DNSSEC schon ein (unbeantworteter) Thread: https://userforum.mailbox.org/topic/welche-sicherheitsvorkehrungen-bei-eigener-domain-sinnvoll


Meine Frage geht in die gleiche Richtung. Wie sind die fehlenden DKIM, DMARC, DNSSEC einzuschätzen? Relativiert sich das, da man selbst die Domain umbiegt? Oder liegt es eben in der "Natur der Sache", dass man da Abstriche machen muss?


------------


Hier die Zusammenfassung einer *@mailbox.org-Adresse (volle Punktzahl: 5 - 5 - 5)

VERTRAULICHE ÜBERTRAGUNG

green green green green green (5.0/5)

Ihr Email-Provider beschützt Ihre gesendeten und empfangenen Nachrichten durch Verschlüsselung gegen Abhörung. Außerdem werden die allerneuesten Technologien angewendet um Ihnen die eindeutige Identität ihrer Kommunikationspartner zu versichern.

PHISHING AND IDENTITÄTSBETRUG

green green green green green (5.0/5)

Ihr Email-Provider verhindert vollkommen den Empfang von Emails von nicht-legitimen und zweifelhaften Servern. Außerdem wird verhindert, dass nicht-autorisierte Server Emails von Benutzerkonten Ihrer Domain versenden. Diese Maßnahmen senken die Wahrscheinlichkeit von Phishing-Attacken und Identitätsbetrug signifikant.

VERTRAUENSWÜRDIGKEIT VON NACHRICHTEN

green green green green green (5.0/5)

Ihr Email-Provider kann eindeutig identifizieren, wenn Emails auf dem Übertragungsweg vom MTA des Senders/der Senderin zum MTA des Empfängers/der Empfängerin verändert oder abgefangen wurden.


---------


Hier die Zusammenfassung (m)einer eigenen Domain (Punktzahl: 4,5 - 0 - 2)

(Hört sich erstmal gruselig an)


VERTRAULICHE ÜBERTRAGUNG

green green green green green_half (4.5/5)

Ihr Email-Provider beschützt Ihre gesendeten und empfangenen Nachrichten durch Verschlüsselung gegen Abhörung. Außerdem werden die allerneuesten Technologien angewendet um Ihnen die eindeutige Identität ihrer Kommunikationspartner zu versichern.

PHISHING AND IDENTITÄTSBETRUG

red_empty red_empty red_empty red_empty red_empty (0.0/5)

Ihr Email-Provider kann Emails nicht unterscheiden die von legitimen oder nicht-legitimen Quellen (Spam oder Fishingmails werden normalerweise von nicht-legitimen Servern aus gesendet) gesendet wurden. Er bietet Ihnen auch keinerlei Schutz gegen Versuche Ihre Identität zu stehlen um sich mit Ihrer Adresse fälschlicherweise als Sie auszugeben.

VERTRAUENSWÜRDIGKEIT VON NACHRICHTEN

red red red_empty red_empty red_empty (2.0/5)

Ihr Email-Provider kann Ihnen nicht garantieren, dass von Ihnen empfangene Nachrichten nicht auf dem Übertragungsweg verändert wurden. Insbesondere kann der Provider bei zwei Sternen lediglich garantieren, dass die Nachricht unverändert vom letzten Mailserver der Kommunikationskette empfangen wurde. Nicht aber, dass die empfangene Nachricht dieselbe ist, die ursprünglich gesendet wurde.

----------

Vielen Dank für Feedback


Hier der Test: https://mecsa.jrc.ec.europa.eu/


Hier die Zählweise: https://mecsa.jrc.ec.europa.eu/de/faq

Hier die Anleitung zur eigenen Domain von mailbox.org: https://userforum.mailbox.org/knowledge-base/article/e-mail-adressen-der-eigenen-domain-nutzen

Beste Antwort
Foto

Ich hab´s mit meiner eigenen Domain auch mal getestet. Ich komme dabei auf folgende Werte:

- Vertrauliche Übertragung --> 4,5 von 5

- Phishing und Identitätsbetrug --> 5 von 5

- Vertrauenswürdigkeit von Nachrichten --> 5 von 5

Zum Thema DNSSEC/DANE:

Sofern du keinen Registrar hast, der dies in seinem Portfolio mit anbietet, kannst du trotzdem DNSSEC/DANE für deine Domain einrichten, wenn du einfach einen anderen Nameserver-Betreiber wählst, welcher DNSSEC mitliefert. So musst du nicht den Registrar wechseln, sondern lediglich in den Einstellungen deines Domain-Account andere Nameserver definieren.

- Kostenlos kannst du dir einen DNSSEC-fähigen Nameserver hier anmieten - https://www.1984.is/product/freedns/ - dieser Anbieter bieter jedoch nicht alle denkbaren DNS-Parameter an (z.B. keine SMIMEA bzw. OPENPGPKEY)

- einen seriösen Nameserver-Anbieter, welcher DNSSEC und alle denkbaren DNS-Parameter anbietet, findest du hier - https://www.core-networks.de/nameserver.html - dieses Angebot kostet 12,- Euro im Jahr, was angesichts der Leistung absolut ok ist

Bevor du jedoch die Nameserver in deinen Domain-Settings schwenkst, solltest du ALLE notwendigen DNS-Parameter (MX, A, etc.) gesetzt haben, sonst landen alle E-Mails an dich und Webseitenaufrufe im Nirvana.

Wichtig: Damit DNSSEC funktioniert, musst du den Key durch deinen eigentlichen Registrar im Registry der Registrierungsstelle hinterlegen lassen. Eine kleine Anleitung findest du bei dem empfohlenen Nameserver-Anbieter - https://www.core-networks.de/faq/dnssec-externe-domains.html

Damit wäre DNSSEC erstmal abgefrühstückt. Deine Webseite kannst du mittels TLSA-Eintrag absichern, siehe hier - https://www.core-networks.de/faq/tlsa-record.html

Zum Thema DKIM:

Hier musst du dir erstmal einen Schlüssel selbst erstellen, welchen du dann an den mailbox.org-Support sendest, damit dieser in deren Backend hinterlegt werden kann. Es gibt für die Schlüsselgenerierung Tools, wie das hier - https://dkimcore.org/tools/keys.html . Ich empfehle dir jedoch den Schlüssel selbst zu generieren (2048 bit sollten es dabei schon sein) - siehe hier - https://lxadm.com/Generating_DKIM_key_with_openssl . Jetzt brauchst du nur noch einen TXT Eintrag in deinen DNS-Settings machen, um den Schlüssel (den öffentlichen Teil) zu veröffentlichen. In der Antwortmail von mailbox.org ist der notwendige DNS-Eintrag (mit kleiner Anweisung) bereits enthalten. Du musst dir also hier keinen großen Kopf machen, dass kriegst du hin.

Zum Thema SPF:

Hier empfehle ich dir einen Fachartikel von Herrn Heinlein. Wie restriktiv du SPF setzt, obliegt dann deinen eigenen Anforderungen - https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf/

Zum Thema DMARC:

Das setzen eines entsprechenden Eintrags ist etwas tricky - am besten du verwendest Tools, welche dir einen fertigen DNS-Eintrag ausspucken, welchen du nur noch eintragen musst - https://dmarc.org/resources/deployment-tools/

Zum Thema Whois-Schutz bei eigener Domain:

Mit Inkrafttreten der EU-DSGVO am 25. Mai 2018 hat die DENIC ein neues DSGVO-konformes Whois-Prozedere eingeführt. Du brauchst nicht mehr zwingend deine .de-Domain mit einem Whois-Proxy oder Treuhandservice absichern, um deine Adressdaten zu schützen. Dies ist mal eine extrem positive Auswirkung der neuen Datenschutzrichtlinie. Angesichts der Datenschutzstreitigkeiten der ICAAN mit der EU - https://www.heise.de/newsticker/meldung/DSGVO-und-Domain-Daten-ICANN-klagt-gegen-abgespecktes-Whois-4060061.html - würde ich aus derzeitiger Sicht keine generische Domain mehr anmelden, sondern nur noch .de- oder .eu-Domains.

Ich hoffe die Tipps sind für dich nützlich. E-Mail-Sicherheit ist kein Hexenwerk und in Kombination mit dem hervorragenden Mailhoster "mailbox.org" leicht zu erreichen. Ich hoffe nur, dass mailbox.org auch künftig den DKIM-key für seine Kunden (auch wenn nur 1,- Euro-Accounts) hinterlegen wird. Möglicherweise sind die derzeitigen Umbauten (OX-Update) der Grund für die von Georg geschilderte negative Support-Antwort.

Kommentare (17)

Foto
1

Hi, DMARC geht nur wenn DKIM auf Deiner Domain ist. Leider ist DKIM nicht so einfach möglich bei Privatkunden. Leider... Ich wollte es für eine Domain haben, da hieß es vom Support "technisch" nicht möglich gerade. Aber: DKIM ist meines Erachtens Standard heute. Auch wenn man über SPF und DKIM streiten kann. Aber das ist ein Thema was in das Umfeld "Sicherheit" hier bei MBO noch nicht passt. Das sollte auch für normale Kunden mit eigener Domain einfach zu implementieren sein.

Foto
1

Ich hab´s mit meiner eigenen Domain auch mal getestet. Ich komme dabei auf folgende Werte:

- Vertrauliche Übertragung --> 4,5 von 5

- Phishing und Identitätsbetrug --> 5 von 5

- Vertrauenswürdigkeit von Nachrichten --> 5 von 5

Zum Thema DNSSEC/DANE:

Sofern du keinen Registrar hast, der dies in seinem Portfolio mit anbietet, kannst du trotzdem DNSSEC/DANE für deine Domain einrichten, wenn du einfach einen anderen Nameserver-Betreiber wählst, welcher DNSSEC mitliefert. So musst du nicht den Registrar wechseln, sondern lediglich in den Einstellungen deines Domain-Account andere Nameserver definieren.

- Kostenlos kannst du dir einen DNSSEC-fähigen Nameserver hier anmieten - https://www.1984.is/product/freedns/ - dieser Anbieter bieter jedoch nicht alle denkbaren DNS-Parameter an (z.B. keine SMIMEA bzw. OPENPGPKEY)

- einen seriösen Nameserver-Anbieter, welcher DNSSEC und alle denkbaren DNS-Parameter anbietet, findest du hier - https://www.core-networks.de/nameserver.html - dieses Angebot kostet 12,- Euro im Jahr, was angesichts der Leistung absolut ok ist

Bevor du jedoch die Nameserver in deinen Domain-Settings schwenkst, solltest du ALLE notwendigen DNS-Parameter (MX, A, etc.) gesetzt haben, sonst landen alle E-Mails an dich und Webseitenaufrufe im Nirvana.

Wichtig: Damit DNSSEC funktioniert, musst du den Key durch deinen eigentlichen Registrar im Registry der Registrierungsstelle hinterlegen lassen. Eine kleine Anleitung findest du bei dem empfohlenen Nameserver-Anbieter - https://www.core-networks.de/faq/dnssec-externe-domains.html

Damit wäre DNSSEC erstmal abgefrühstückt. Deine Webseite kannst du mittels TLSA-Eintrag absichern, siehe hier - https://www.core-networks.de/faq/tlsa-record.html

Zum Thema DKIM:

Hier musst du dir erstmal einen Schlüssel selbst erstellen, welchen du dann an den mailbox.org-Support sendest, damit dieser in deren Backend hinterlegt werden kann. Es gibt für die Schlüsselgenerierung Tools, wie das hier - https://dkimcore.org/tools/keys.html . Ich empfehle dir jedoch den Schlüssel selbst zu generieren (2048 bit sollten es dabei schon sein) - siehe hier - https://lxadm.com/Generating_DKIM_key_with_openssl . Jetzt brauchst du nur noch einen TXT Eintrag in deinen DNS-Settings machen, um den Schlüssel (den öffentlichen Teil) zu veröffentlichen. In der Antwortmail von mailbox.org ist der notwendige DNS-Eintrag (mit kleiner Anweisung) bereits enthalten. Du musst dir also hier keinen großen Kopf machen, dass kriegst du hin.

Zum Thema SPF:

Hier empfehle ich dir einen Fachartikel von Herrn Heinlein. Wie restriktiv du SPF setzt, obliegt dann deinen eigenen Anforderungen - https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf/

Zum Thema DMARC:

Das setzen eines entsprechenden Eintrags ist etwas tricky - am besten du verwendest Tools, welche dir einen fertigen DNS-Eintrag ausspucken, welchen du nur noch eintragen musst - https://dmarc.org/resources/deployment-tools/

Zum Thema Whois-Schutz bei eigener Domain:

Mit Inkrafttreten der EU-DSGVO am 25. Mai 2018 hat die DENIC ein neues DSGVO-konformes Whois-Prozedere eingeführt. Du brauchst nicht mehr zwingend deine .de-Domain mit einem Whois-Proxy oder Treuhandservice absichern, um deine Adressdaten zu schützen. Dies ist mal eine extrem positive Auswirkung der neuen Datenschutzrichtlinie. Angesichts der Datenschutzstreitigkeiten der ICAAN mit der EU - https://www.heise.de/newsticker/meldung/DSGVO-und-Domain-Daten-ICANN-klagt-gegen-abgespecktes-Whois-4060061.html - würde ich aus derzeitiger Sicht keine generische Domain mehr anmelden, sondern nur noch .de- oder .eu-Domains.

Ich hoffe die Tipps sind für dich nützlich. E-Mail-Sicherheit ist kein Hexenwerk und in Kombination mit dem hervorragenden Mailhoster "mailbox.org" leicht zu erreichen. Ich hoffe nur, dass mailbox.org auch künftig den DKIM-key für seine Kunden (auch wenn nur 1,- Euro-Accounts) hinterlegen wird. Möglicherweise sind die derzeitigen Umbauten (OX-Update) der Grund für die von Georg geschilderte negative Support-Antwort.

Foto
1

@ 7842928:

Kennst du core-networks genauer? Bei kleinen Firmen habe ich immer Angst, dass es die morgen nicht mehr gibt.

Foto
1

bin selbst da seit ner Weile Kunde. Es gab nie Probleme oder Beschwerden. Die Domainregistrierungen machen sie nur als Reseller, da steht ein großer Anbieter dahinter. Frag den Support an, dann nennen die dir den eigentlichen Registrar. Die sonstigen Services machen sie selbst (Hosting, DNS, etc.) und das läuft auf hohem Level. Mehr kann ich zu der Firma nicht sagen...

Foto
1

Steht im Kleingedruckten. Domains laufen über ein Anbieter aus Rgbg. Auf alle Fälle schon mal Danke für die schnelle Antwort. Ich bin auf der einen Seite sehr angetan von der Technik (aktuelle Software, Bestwerte bei der Verschlüsselung, etc.) auf der anderen Seite aber etwas unentschlossen, bei jemand mir gänzlich unbekannten nicht nur DNS zu nutzen, sondern auch noch mein Nextcloud laufen zu lassen. Weil eigentlich bin ich mit der Kombi aus meinem jetzigen Webhoster (KMU) und Mailbox.org ganz zufrieden, nur der kann leider kein DNSSEC ... und ich möchte doch beim MECSA-Test alles schön grün haben ;-) ... leider fehlt trotz Mailbox.org wegen meines Webhosters eben DNSSEC.

Foto
1

core-networks ist eine One-Man-Show. Der Inhaber ist zwar sehr kompetent und hilfsbereit, aber bei Ausfällen der Person sehr ungünstig ...

Foto
Foto
1

Wow, das ist natürlich enorm nützlich und ich sehe "Licht am Ende des Tunnels".

Zunächst kurze Frage zum letzten Punkt (Whois-Schutz). Grundsätzlich kenne ich die Thematik


und habe an "Privacy-Schutz" durch den Provider (das ist dann Treuhand?) gedacht.


Ein großer deutscher Hoster hat mir mal geschrieben (01/2018), dass die DeNIC keine Verschleierung/Anonymisierung der Inhaberdaten zulässt und deswegen keinen Privacy-Schutz für .de-Domains anbietet. Mittlerweile bietet der Hoster gar kein "Privacy" mehr an, weil er "keine wesentliche" Vorteil mehr sieht. Allerdings auch nicht für generische Domains, wo es ja nützen würde.


Habe mal meine .com Domains gechecked. Ziemlich verwirrend. Manche mit Schutz ungeschützt, Ungeschützte geschützt. Scheint ein ziemlicher Krampf zu sein.


Wegen der anderen Dinge mache ich einen separaten Kommentar. Danke, Gruss

Foto
1

Vor dem 25.05. waren die DENIC-Richtlinien der Hinderungsgrund, warum wenig bis gar keine Anbieter einen vernünftigen Whois-Schutz für .de-Domains angeboten haben. Im Detail verlangte die DENIC, dass eine natürliche Person als Admin-C mit regulärer deutscher Adresse eingetragen sein musste. Diese Hürde für Whois-Privacy-Anbieter wurde durch manche Registrare "umschifft", indem ein deutscher Treuhänder (zumeist Anwalt) als Domaininhaber und Admin-C eingetragen wurde und dieser die Domain "treuhänderisch" verwaltete.

Wie gesagt, mittlerweile haben sich die Richtlinien der DENIC an die DSGVO angepasst. Es wird somit nur noch bei "berechtigtem" Interesse (welches belegt werden muss) der tatsächliche Domaininhaber beauskunftet. Sicherheitsbehörden können im Zuge von Ermittlungsmaßnahmen logischerweise den Inhaber auch beauskunften lassen. Jedoch Spammer, Datendiebe (ggf. für Identitätsdiebstahl, etc.) können die Inhaber- und Adressdaten nicht mehr einsehen. Hier hat die DENIC echt mal nen geilen Job gemacht. Somit brauchst du für eine .de-Domain keinen separaten Whois-Schutz mehr, weil dieser "by design" schon beinhaltet ist.

Für die generischen Domains bieten Registrare immer noch Whois-Proxys an, welche zumeist von eigenständigen ausländischen Firmen (Panama, Hongkong, GB, etc.) realisiert werden. Derzeit empfehle ich für gTLDs noch einen separaten Whois-Schutz.

Ach ja, noch ein Hinweis zum DKIM-Schlüssel bei mailbox.org. Dieser muss nur einmal eingetragen werden und funktioniert dann für alle eigenen Domains, welche du in deinem mailbox.org-Account (auch als Catchall) eingetragen hast. Du musst nur darauf achten, dass im DNS für jede Domain der Schlüssel hinterlegt ist.

Foto
Foto
1

Zum Thema DKIM, DMARC, DNSSEC/DANE.

Zwischenzeitlich habe ich ein paar Provider abgefragt. Einige wenige scheinen alles zu bieten. Wobei die Auskünfte manchmal sehr kurz sind. Es wird mehr oder weniger zwischen intern und extern unterschieden. Wobei mir nicht 100% klar ist, meinen die nur den externen MX-Record der eigenen Nameserver oder bei komplett externen Nameservern.

Wobei, wenn ich Dich richtig verstanden habe, es bei komlett externen Nameservern immer geht, wenn es der externe Nameserver kann. Richtig?


Bzgl. Trennung Domain und Nameserver bin ich noch etwas hin und her gerissen, da ich sowieso den Domainhoster wechseln will, hätte ich das gerne aus einer Hand, um es nicht zu sehr zu verästeln. Nicht wegen des Geldes. Die werben tlw. mit "ein Klick" Installation von DNSSEC bei Verwendung der eigenen Nameserver. Auf der anderen Seite, wenn es (noch andere) Vorteile hat. Hm.


Ansonsten:

DKIM: Key erstellen sollte für mich kein Problem sein. Der Rest hängt vom Mailhoster ab.


DMARC: Ok, evtl. mit Generator


Thanks

PS: Warum "nur" 4,5/5 bei vertraulicher Übertragung ;-)

Foto
1

Was DNSSEC betrifft, habe ich eine Domain, die bei der Whois Auskunft "DNSSEC: Ja" ausgibt. Bei dem EU-Tool jedoch rot (0): "DNSSEC getDSrecord NoAnswer: domainxyz.xy."

Die Domain ist nicht umgeleitet, zu 100% bei Hoster/Registrar. Ist das normal?

Foto
1

Tut mir Leid, das kann ich aus der Ferne nicht beurteilen.

Foto
1

Versteh ich, kläre ich mit dem Provider.

Foto
1

Hier eine Antwort: "Auch wenn Sie Ihrem Mail Host zu [ProviderXY] wechseln wird der Test für DNSSEC negativ ausfallen, da auch wir für die systemrelevanten Domains kein DNSSEC einsetzen.

DNSSEC hat leider auch Nachteile z.B. bei einer Störung oder einer Fehlerhaften Konfiguration. In diesem Fall kann es auf Grund der aktiven DNSSEC Komponente zu starken Verzögerungen kommen.


Dieses Risiko ist höher als der Nutzen und ist der Hauptgrund weshalb Sie kaum einen Provider mit aktivem DNSSEC auf den systemrelevanten Domains finden werden."


Ok, wenn man das auf MBO korrekt umbiegt ist das wohl anders.

Foto
1

Die Aussagen deines Hosters kann ich verstehen. Leider fehlen für DNSSEC auch noch die Clientanwendungen, welche tatsächlich auf korrekte Schlüssel verifizieren (z.B. im Browser oder Mailclient). Hier bedarf es immer noch separater Browser-Plugins, welche ihrerseits wiederum Google-DNS, Cloudflare oder andere Dienste zur Auflösung verwenden. Privacy und Anwenderfreundlichkeit geht hier tatsächlich anders. Für mich war es schlicht eine Herausforderung, eine tolle Umgebung mit DNSSEC und gutem Mailprovider zusammenzubasteln. Für einen weniger technikaffinen Anwender ist der Aufwands-/Nutzenfaktor vermutlich zu gering.

Foto
Foto
1

@9923157: Wenn dein Registrar DNSSEC mit anbietet, dann kannst du dies natürlich gleich in dessen DNS-Einstellungen vornehmen. Wenn dein Registrar DNSSEC nicht anbietet, musst du nicht gleich den Registrar wechseln (die Domain umziehen), es genügt, wenn du andere Nameserver verwendest, welche eben DNSSEC können (siehe meine Beispiele)! Hier findest du eine rudimentäre Auflistung von Providern (Hostern/Registraren), welche DNSSEC gleich mit anbieten - https://www.heise.de/ct/artikel/Hoster-und-Registrare-mit-DNSSEC-Diensten-2643530.html


Zu deiner Frage, warum ich bei "Vertraulicher Übertragung" nur 4,5 von 5 Punkten erreiche: Ich habe den MX-Server meines Domainhosters als Backup mit eingetragen. Der MX-Server meines Domainhosters hat als Shared Host natürlich ein Problem bei der Verifizierung des Fully Qualified Domain Names (FQDN). Würde ich einzig auf die MX-Server von mailbox.org setzen, dann hätte ich auch hier 5 von 5 möglichen Punkten ;-)

Foto
1

Danke für den MX-Server Hinweis.

Vielleicht etwas off-topic. Bei einem Provider habe ich bei dem MESCA-Tool beim MX-Record(1) Zertifikat nur 75% (gelb). Ich vermute, es liegt an "Certificat, CA, valid no(rot). Der Rest ist grün. Auf MESCA habe ich dazu keine Erklärung gefunden. Auf die Schnelle habe ich kein Tool zum Checken des MX-Record-Zertifikates gefunden.

Foto
1

Habs hier gefunden: https://de.ssl-tools.net/mailservers

DANE fehlt, schwache Algorhythmen, selbst signiert ist wohl der Grund....

Foto