MTA-STA-Policy
unbeantwortet
Weiß jemand, wie ich die MTA-STA-Policy als CNAME setze, wenn ich meine eigene Domain nutze, aber ja über die MX von Mailbox.org gehe (siehe hier https://www.heise.de/select/ix/2018/12/1543727185822371)
Meine externe Domain nutze ich nur für den E-Mail Service und für nichts anderes. DANE/DNSSEC funktioniert damit natürlich nicht, daher möchte ich das o.g. setzen.
So jetzt endlich bin ich dazu gekommen MTA-STS für externe Domains bei mailbox.org umzusetzen und zwar wie folgt:
1. DNS TXT Eintrag: _mta-sts TXT v=STSv1; id=201812200v1 (Anmerkung: die id ist bis 32 Zeichen frei wählbar)
2. DNS TXT Eintrag: _smtp._tls TXT v=TLSRPTv1; rua=mailto:postmaster@domain.de
3. Subdomain mit mta-sts.domain.de die auf ein Verzeichnis zeigt, in welchem der Ordner .well-known mit der Datei mta-sts.txt liegt (also https://mta-sts.domain.de/.well-known/mta-sts.txt).
Wichtig dabei ist, dass die Domain mittels https gesichert ist und am besten noch einen CAA Eintrag für den Zertifikatsaussteller enthält (z.B. @ CAA 0 issuewild "letsencrypt.org"). In der Datei mta-sts.txt wird die Policy nach folgendendem Muster definiert:
Die Version ist aktuell vorgegeben, da es schlicht keine andere gibt. Mode sollte aktuell mit Testing laufen um eventuelle Fehler zu identifizieren. Und letztendlich wird mit MX der Mailserver definiert, der sowohl als Wildcard als auch fest definiert werden kann. Der erste Eintrag mit *.mailbox.org reicht eigentlich schon, da damit alle eingefangen werden. Bitte beachtet, dass eine Änderung der Policy auf eine Änderung der id im DNS Eintrag _mta-sts mit sich zieht, da diese id dem Caching dient.
(Achja, für das Verzeichnis wird ein kleines Webhosting, hier reicht auch etwas für ein paar Cent, benötigt. Es hat keine speziellen Anforderungen, außer vielleicht 1 MB Speicherplatz und ein möglichst kostenloses Zertifikat von beispielsweise lets encrypt.)
Okay, wenn mich jetzt nichts alles täuscht und ich es richtig gelesen habe, dann müsste folgendes klappen:
_mta-sts.domain.de. IN CNAME _mta-sts.mailbox.org.
Habt ihr schon mal darüber nachgedacht, eure entsprechenden Domains zu https://www.jpberlin.de/ umzuziehen? Da ist ja auch mailbox.org drin, zumindest irgendwie... also zumindest was die Sicherheitsphilosophie angeht.
Denkt ihr, es macht Sinn MTA-STA zusätzlich zu DANE/DNSSEC einzurichten?
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.