Willkommen im User-Forum von mailbox.org
 

Integration von MTA-STS

1154279 hat dies geteilt, 11 Monaten her
vorgeschlagen

Zur weiteren Verbesserung der Sicherheit wäre die Integration von MTA-STS (https://tools.ietf.org/html/draft-ietf-uta-mta-sts-21) wünschenswert.

Kommentare (6)

Foto
1

Fände ich auch gut!

Foto
1

Um gezielte Manipulationen durch Dritte auszuschließen, haben wir als einer der ersten Provider unsere Domain mittels DNSSEC und DANE/TLSA gesichert. Doch auch das ist (uns) nicht genug: Wann immer sich eine Möglichkeit bietet, die Sicherheit der Kommunikation zu erhöhen, nutzen wir diese. Verfahren wie HSTS, CAA, CSP, MTA-STS und X-XSS verhindern wirkungsvoll sogenannte "man-in-the-middle"-Attacken und sorgen dafür, dass Sie beim Einsatz von SSL/TLS stets sicher sein können, auch tatsächlich (nur) mit uns zu kommunizieren.

https://mailbox.org/de/sicherheit

Foto
1

Die Frage ist, wie genau das umgesetzt wird? Läuft das alles automatisch (auch für eigene Domains), oder steht es da nur geschrieben und ist es bisher gar nicht umgesetzt?

Foto
1

Soetwas kann prüfen (https://aykevl.nl/apps/mta-sts/) und dann sieht man, dass es umgesetzt ist. Aber aus der Logik geht das nur mit E-Mailadressen von Mailbox.org und nicht mit externen Domains, siehe auch hier https://userforum.mailbox.org/topic/mta-sta-policy

Foto
1

Hi Daniel, zu der von dir beschriebenen Anleitung (vielen Dank dafür) gäbe es u.U. noch eine weitere elegante Möglichkeit, MTA-STS für die eigene Domain zu nutzen.

Über den DNS-Eintrag "_mta-sts.meineDomain.tld. 3600 IN CNAME _mta-sts.mailbox.org." sollten doch automatisch die Einstellungen von mailbox.org übernommen werden. Ich bräuchte dann keine eigene Sub-Domain mit txt-Eintrag mehr und könnte die Realisierung mailbox.org überlassen.

Oder übersehe ich hier etwas und es gibt einen "Pferdefuß"?

Foto
1

Ja schöne wäre es, aber MTA-STS verlangt gerade na einer https Verbindung und wenn Du eine Subdomain mittels CNAME erstellst, dann muss Mailbox.org auch deine Subdomain mit einschließen und das ist nicht der Fall. Daher funktioniert CNAME natürlich, allerdings kommt ein SSL-Verbindungsfehler (siehe auch im Thread, da wurde es diskutiert).

Foto