DNSSEC, DANE und MTA-STS

Informationen

Für eine erweiterte Emailsicherheit empfiehlt es sich auch noch DNSSEC, DANE und MTA-STS zu verwenden.

Für DANE ist jedoch zwingend DNSSEC benötigt und das bietet leider nicht jeder Anbieter, hier ein paar Möglichkeiten:

• DynDNS mit DNSSEC und IPV4/6 Unterstützung: https://desec.io/
• Günstiger DNS Anbieter mit DNSSEC Unterstützung: https://www.domaindiscount24.com/
• Anbieter, der nicht nur Domainanbieter ist (inkl. DNSSEC) - aber auch VServer anbieter: https://www.netcup.de/ 
• Dane und MTA-STS einrichten:https://github.com/internetstandards/toolbox-wiki/blob/main/DANE-for-SMTP-how-to.md

 

DANE Einträge erstellen (Mailcow auf Ubuntu)

Der Anbieter muss natürlich DNSSEC und DANE unterstützen - z.B. NETCUP

• Exportieren Sie alle Zertifikate inkl. der Chain (z.B. URL im Browser aufrufen, Zertifikat anzeigen und dann das Zertifikate inkl. Intermediate und Root exportieren in Einzeldateien).
• Dann jedes Zertifikat den Hashwert ermitteln mit dem folgenden Befehl: 
  

openssl x509 -in Zertifikatsname.crt -noout -pubkey | openssl pkey -pubin -outform DER | openssl sha256

• Erstellen Sie einen DNS TXT Record für jeden Wert, denn sie haben wie folgt:
  Host: _25._tcp.servername Wert: 3 1 1 wert_vom_serverzertifikat
  Host: _25._tcp.servername Wert: 2 1 1 wert_vom_intermediatezertifikat
  Host: _25._tcp.servername Wert: 2 1 1 wert_vom_rootzertifikat