# DNSSEC, DANE und MTA-STS

## Informationen

Für eine erweiterte Emailsicherheit empfiehlt es sich auch noch DNSSEC, DANE und MTA-STS zu verwenden.

Für DANE ist jedoch zwingend DNSSEC benötigt und das bietet leider nicht jeder Anbieter, hier ein paar Möglichkeiten:

- DynDNS mit DNSSEC und IPV4/6 Unterstützung: [https://desec.io/](https://desec.io/)
- Günstiger DNS Anbieter mit DNSSEC Unterstützung: [https://www.domaindiscount24.com/](https://www.domaindiscount24.com/)
- Anbieter, der nicht nur Domainanbieter ist (inkl. DNSSEC) - aber auch VServer anbieter: [https://www.netcup.de/](https://www.netcup.de/)
- Dane und MTA-STS einrichten:[https://github.com/internetstandards/toolbox-wiki/blob/main/DANE-for-SMTP-how-to.md](https://github.com/internetstandards/toolbox-wiki/blob/main/DANE-for-SMTP-how-to.md)

## DANE Einträge erstellen (Mailcow auf Ubuntu)

<p class="callout info">Der Anbieter muss natürlich DNSSEC und DANE unterstützen - z.B. [NETCUP](https://netcup.de)</p>

- Exportieren Sie alle Zertifikate inkl. der Chain (z.B. URL im Browser aufrufen, Zertifikat anzeigen und dann das Zertifikate inkl. Intermediate und Root exportieren in Einzeldateien).
- Dann jedes Zertifikat den Hashwert ermitteln mit dem folgenden Befehl:

```
openssl x509 -in Zertifikatsname.crt -noout -pubkey | openssl pkey -pubin -outform DER | openssl sha256
```

- Erstellen Sie einen DNS TXT Record für jeden Wert, denn sie haben wie folgt:  
    Host: \_25.\_tcp.servername Wert: 3 1 1 wert\_vom\_serverzertifikat  
    Host: \_25.\_tcp.servername Wert: 2 1 1 wert\_vom\_intermediatezertifikat  
    Host: \_25.\_tcp.servername Wert: 2 1 1 wert\_vom\_rootzertifikat

## MTA-STS Eintrag erstellen (Mailcow auf Ubuntu)

- Erstellt eine Datei mta-sts.txt im Verzeichnis /opt/mailcow-dockerized/data/web/.well-known mit dem folgenden Inhalt:

```
version: STSv1
mode: enforce
max_age: 15552000
mx: mailserver.domain.de

```

- Fügt in der Datei /opt/mailcow-dockerized/mailcow.conf im Eintrag ADDITIOONAL\_SERVER\_NAMES den mta-sts.domain.com eintrag hinzu und startet die Mailcow neu (ggf. reicht auch nur ein Neustart des ACME Containers).
- Erstellt dann noch einen DNS Host-Eintrag für MTS-STS der auf eure Mailcow zeigt.

Weitere Infos: [https://schroederdennis.de/tutorial-howto/mailcow-mta-sts-richtig-einrichten-security-mit-tls/](https://schroederdennis.de/tutorial-howto/mailcow-mta-sts-richtig-einrichten-security-mit-tls/)