Diese Lösung finde ich insofern charmant, weil derzeit meine Domains bei unterschiedlichen Providern und teilweise noch in unterschiedlichen Verträgen liegen, was auch eine technische Trennung zur Folge hat.
Ziel ist es nun am Ende nur einen vHost zu haben, auf den dann per CNAME verwiesen wird.
Diese Annahmen habe ich getroffen:
Ich hinterlege alle möglichen Mailserver, die ich von den Providern habe und bündel sie in der vHost-Datei. Alle Domains müsste ich einzeln natürlich vorher bei GitHub hinterlegen, damit an der Gegenstelle die Domain sozusagen auch bekannt ist, wenn per CNAME darauf gezeigt wird. Dabei dürfte es egal sein, dass im vHost auch noch andere Mailserver zu finden sind, solange der oder die zuständigen in der Liste gefunden werden.
Wie ist aber nun mit Subdomains zu verfahren? Werden diese automatisch bereits komplett über die Konfiguration der Hauptdomain abgedeckt?
Braucht es für jede Subdomain eigene CNAME und TXT-Records?
Und wenn ja, lässt sich mit einem Wildcard-Eintrag arbeiten? Wie müsste dieser, sicherhaltshalber gefragt, aussehen?
Zwischen Domain und Subdomains kann es unterschiedliche MX-Provider geben, würde da eine Wildcard überhaupt Sinn machen? Oder würde die für alle Subdomains greifen, es sei denn für bestimmte Subdomains wären Ausnahmen definiert?
ich kenne zwar MTA-STS, aber was Du mit vHost-Datei meinst ist mir unklar. Falls gemeint ist, alle MX verschiedener Domains in einer Datei zu bündeln dann erscheint mir das abwegig.
Ich halte wenig davon, sicherheitsrelevante Informationen zu verstreuen. Bei mir läuft das alles auf meinen eigenen VPS statt Github.
Und sinnvoller als MTA-STS ist in meinen Augen SMTP-DANE.
Ein Vorteil von MTA-STS im Vergleich zu SMTP-DANE ist seine Unabhängigkeit in Bezug auf die Einrichtung. Man benötigt SSL, die Möglichkeit der Domain DNS Verwaltung, ftp Zugang zum Webspace und das wars auch schon. SMTP-DANE ist an DNSSEC gebunden, eine fast proprietäre Technologie.
… und dass es die großen Monopoly-Anbieter begünstigt, weil die Sicherheit initial schlechter ist als bei SMTP-DANE und nur dann akzeptabel ist, wenn das Ziel im Cache bleibt.
DNSSEC ist standardisiert, dass es in Deutschland zu wenig verbreitet ist liegt daran, dass hier Sicherheit - gerade auch bei Email - nicht ernst genommen wird. Siehe z.B. https://blog.lindenberg.one/AufsichtEmail.
Erneut Vorteil MTA-STS. Es ist schon eine tolle Sache den Mail Transfer Agent, die Software des SMTP Servers individuell ansteuern zu können. Eigentlich könnte man nun, nachdem das klar ist, in die MTA-STS Konfiguration einsteigen, wie im Forumthema vorgeschlagen.