MTA-STS Fehler bei eigener Domain

    Hallo,


    Ich habe MTA-STS für eine Email-Domain konfiguriert, bekomme aber nun beim Test mit https://www.hardenize.com/ einen Error:

    Und:

    Quote

    Server certificate fails strict MTA-STS validation

    When MTA-STS is in use, email servers are required to have valid public certificates. It seems that one ore more certificates don't, which may lead to deliverability issues.


    Was muss ich hier umkonfigurieren?

    Der MX-Eintrag mit mail.[deine-Domain] macht vermutlich Probleme. Für den hat der Mailserver nämlich kein Zertifikat. Ich würde den MX-Eintrag löschen (nicht aber den mail-A-Record).

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Den soll ich einfach rauswerfen? Eigentlich sollte der ja genau so aussehen:

    MX 10 mail.<meine-domain>.de

    MX 50 mxe950.netcup.net


    So steht es auch in meiner MTA-STS Policy.


    Ist das wirklich der richtige Weg?

    Du erzwingst mit MTA-STA eine verschlüsselte Kommunikation mit dem Mailserver. Dieser besitzt für mail.<deine-domain>.de aber kein gültiges Zertifikat. Somit kann an der Stelle keine vertrauenswürdige verschlüsselte Verbindung aufgebaut werden. Da die zwei Hostnamen mail.<deine-domain>.de und mxe950.netcup.net eh auf die selbe IP zeigen, kannst du dir den Eintrag MX 10 mail.<deine-domain>.de sparen.

    Der Eintrag A mail ist aber für Webmail notwendig. Den also bestehen lassen.


    Ich hatte vorletztes Jahr beim Community-Treffen nachgefragt, warum die zwei Records vorhanden sind. Der Grund konnte mir nicht genannt werden, es wurde aber vermutet, dass es ein historisches Überbleibsel ist und es keinen technischen Grund dafür gibt.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Edited once, last by Virinum ().

    Like 3
    Quote from Virinum

    Der Eintrag A mail ist aber für Webmail notwendig. Den also bestehen lassen.

    Also Webmail benötige ich gar nicht. Ich rufe die Mails ausschließlich via IMAP ab. Dann kann ich den mail. und webmail. A-Record auch löschen?

    Ich richte hier eigentlich gerade nur für meine Freundin eine E-Mail-Adresse auf ihren Namen ein und möchte das alles so sicher wie möglich machen. Bedeutet:

    v=spf1 mx a include:_spf.webhosting.systems -all

    v=DMARC1; p=reject; rua=mailto:dmarc-reports@<meine-domain>.de; ruf=mailto:dmarc-reports@<meine-domain>.de; rf=afrf; fo=1:d:s; adkim=s; aspf=s

    v=STSv1; id=<id>

    v=TLSRPTv1; rua=mailto:tls-reports@<meine-domain>.de


    und im Browser antwortet die Domain mit 204 No Content.


    Den MX Eintrag habe ich gelöscht und die Priorität für mxe950.netcup.net auf 10 gesetzt.


    Macht das alles so Sinn?

    Der A-Record für db. kann auch weg?

    Quote from m3um25z

    Dann kann ich den mail. und webmail. A-Record auch löschen?

    webmail. auf jeden Fall. Den mail. würde ich persönlich bestehen lassen, damit man sich über https://webmail01.netcup.net/ noch einloggen und darüber bequem Sieve-Filter bearbeiten kann. Aber wenn du das auch nicht brauchst, kann mail. auch weg.


    Deine Records sehen so weit gut und sicher aus.


    Und ja db. kann auch weg.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Thanks 1

    Super, danke für deine Hilfe. MTA-STS meldet jetzt keine Fehler mehr, nachdem nur noch mxe950.netcup.net als MX-Record hinterlegt ist.


    Quote from Virinum

    Den mail. würde ich persönlich bestehen lassen, damit man sich über https://webmail01.netcup.net/ noch einloggen und darüber bequem Sieve-Filter bearbeiten kann.


    Das geht auch mit dem Thunderbird-Plugin, oder? Dann würde ich den auch rauswerfen. Über irgendwelche Webinterfaces möchte ich eigentlich gar nichts machen.

    Quote from m3um25z

    Das geht auch mit dem Thunderbird-Plugin, oder?

    Quote

    Zuletzt aktualisiert: Nov. 8, 2021

    Das wirst mit einem aktuellen Thunderbird nicht zum Laufen bekommen.

    Im Zweifel kannst du aber auch selbst (irgendwo) eine eigene Roundcube-Instanz installieren und das als Webmailer dann nutzen. Bist nicht auf die globale Roundcube-Instanz von Netcup angewiesen.

    Quote from Virinum

    Dieser besitzt für mail.<deine-domain>.de aber kein gültiges Zertifikat.

    Dazu fällt mir noch ein, dass du beim Mailserver durchaus eigene Zertifikate hochladen kannst und diese dann auch vom Mailserver verwendet werden. Das wäre vermutlich auch eine Lösung für dein DNSSEC/DANE/TLSA-Problem im anderen Thread. Allerdings kenne ich keine Möglichkeit das Zertifikat automatisch zu verlängern (außer eigenes Script schreiben). Bei Buypass gibt es kostenlose Zertifikate, die 180 Tage gültig sind. Damit müsstest du dann nur ca. 2 Mal im Jahr manuell ran.

    Wie wichtig dir das ist und ob sich das für dich lohnt, musst du entscheiden. Mir wäre es der Aufwand nicht wert und sicher genug finde ich es auch ohne DNSSEC/DANE/TLSA.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*