DNSSEC, DANE und MTA-STS

Informationen

Für eine erweiterte Emailsicherheit empfiehlt es sich auch noch DNSSEC, DANE und MTA-STS zu verwenden.

Für DANE ist jedoch zwingend DNSSEC benötigt und das bietet leider nicht jeder Anbieter, hier ein paar Möglichkeiten:

• DynDNS mit DNSSEC und IPV4/6 Unterstützung: https://desec.io/
• Günstiger DNS Anbieter mit DNSSEC Unterstützung: https://www.domaindiscount24.com/
• Anbieter, der nicht nur Domainanbieter ist (inkl. DNSSEC) - aber auch VServer anbieter: https://www.netcup.de/ 
• Dane und MTA-STS einrichten:https://github.com/internetstandards/toolbox-wiki/blob/main/DANE-for-SMTP-how-to.md

 

DANE Einträge erstellen (Mailcow auf Ubuntu)

Der Anbieter muss natürlich DNSSEC und DANE unterstützen - z.B. NETCUP

Exportieren Sie alle Zertifikate inkl. der Chain (z.B. URL im Browser aufrufen, Zertifikat anzeigen und dann das Zertifikate inkl. Intermediate und Root exportieren in Einzeldateien). Dann jedes Zertifikat den Hashwert ermitteln mit dem folgenden Befehl: 

openssl x509 -in Zertifikatsname.crt -noout -pubkey | openssl pkey -pubin -outform DER | openssl sha256

Erstellen Sie einen DNS TXT Record für jeden Wert, denn sie haben wie folgt:
Host: _25._tcp.servername Wert: 3 1 1 wert_vom_serverzertifikat
Host: _25._tcp.servername Wert: 2 1 1 wert_vom_intermediatezertifikat
Host: _25._tcp.servername Wert: 2 1 1 wert_vom_rootzertifikat