Weg von Freemail: Erste eigene E-Mail Domain - Empfehlungen, best practice?

Meine Domains registriere ich seit einigen Jahren über INWX und hatte in dieser Zeit nicht ein einziges Problem. Eine automatische DNSSEC-Konfiguration wird unterstützt, sofern die Top-Level-Domain DNSSEC unterstützt. Allerdings lege ich darauf derzeit keinen Wert, weil es für mich einfach keinen Unterschied macht.

Nach jahrelangen Versuchen und ständigem Hin und Her habe ich als E-Mail-Anbieter schlussendlich Fastmail gewählt, weil sie für mich den besten Kompromiss zwischen Datenschutz, Sicherheit und Funktionalität darstellen (auch wenn manch einer nun sicher aufschreien wird, weil Fastmail in Australien ansässig ist und die sind ja böse und bla…).

Ich kann dort spielend einfach meine Aliasse verwalten und kann sogar bei jeder E-Mail, die ich sende, einfach einen neuen Alias und anderen Absendernamen angeben (sofern ich möchte). Aufgrund des einfachen Hostings, das inkludiert ist, kann ich MTA-STS für alle meine Domains realisieren und brauche dafür kein eigenes Hosting-Paket oder Umwege über GitHub. Auch die Tatsache, dass ich die gesamte Familie in einem einzigen Tarif unterbringen kann, kommt mir entgegen. Bei Fastmail habe ich zurzeit über 15 Domains angelegt und es läuft einfach alles so, wie es soll.

Vielleicht ist es dir ja einen Versuch wert.

Du riskierst, dass sein Bundle nicht alle relevanten Funktionen unterstützt und spätestens beim Auseinanderreißen Downtime. Hatte ich im Sommer als ich jemanden aus diesem Dilemma raushelfen musste.

das ist nur eine mögliche Einschränkung, eine andere dass er die für DNSSEC relevanten Records nicht einträgt (so insbesondere Ionos, deswegen habe ich gewechselt).

das ist bequem aber halt auch kurzsichtig.
Empfehlung: mein (externer) DNS-Anbieter ist Cloudflare (kostenlos und APIs). Registrar sind je nach Domäne namecheap und 1fire - eben weil nicht jeder DNSSEC für alle TLDs anbietet. VPS habe ich bei netcup, 1fire (Verträge sind unabhängig) und Ionos. Email und anderes vertrauliches läuft zuhause (via VPN).

Aktuell: „v=DMARC1; p=quarantine; sp=reject; rua=mailto:dmarc@lindenberg.one; ruf=mailto:dmarc@lindenberg.one; fo=1; aspf=s;adkim=s;“. Die Verschärfung war notwendig für den Inbound-Authentifizierungstest. p=reject würde bei manchen Mailinglisten ein Problem verursachen.

Sichere Email geht nur mit DNSSEC.

Von Cloudflare habe ich schon oft gelesen, auch in Reddit wird er oft empfohlen, dann werde ich diesen wohl auch verwenden.

Ich warte noch auf die Rückmeldungen der Anbieter aber aktuell siehts eher so aus das ich mir zwei Domains bei Netcup hole(5€ bis 12€ pro Jahr je nach TLD(.de .eu .at) aber ich warte noch auf eine Aktion wie zB.: Black Friday dann wird es noch günstiger. Und für die Namensfindung werde ich ohnehin noch Wochen benötigen

Hosting vermutlich bei UD Media mit dem 1€ Tarif(konnte da keine wichtigen einschränkungen für mich erkennen) und DNS von Cloudflare.

Das oder Domain Netcup, Hosting Mailbox.org, fertig.
Wird sich zeigen was es am Ende wird.

Ich würde mich auch eher als Laie mit einem soliden Halbwissen bezeichnen. Ich versuche aber mal eine Einschätzung der Analyse. Es wäre natürlich nett wenn @Joachim mich gegebenen Falls korrigieren würde.

Bedeutet das ein empfangender Mailserver je nach Konfiguration meine Mail unter Umständen ablehnen oder als Spam einordnen könnte.

Obwohl beim Hin- und Herschicken von Mails verschiedene Server beteiligt sind, sollte eine durchgehende Transportverschlüsselung (TLS) der Mails stattfinden. Ist dies nicht möglich, wird die Mail entweder trotzdem verschickt, oder die Verschickung abgelehnt. So wie ich es verstanden habe, ist die Verschickung einer Mail trotz nicht durchgehend gewährleisteter TLS Verschlüsselung Standard. Um dies unter allen Umständen zu vermeiden, bieten einige Mailprovider eine gesonderte Option an. Z.b. Mailbox.org eine gesonderte Mailadresse mit name@secure.mailbox.org (wie und ob das auch mit einer eigenen Domain funktionieren kann weiß ich nicht), bei Posteo kann man eine „TLS-Empfangs-Garantie“ aktivieren.

Hier wird eingestellt, was passieren soll wenn SPF Prüfung (darf der Absender die Mail überhaupt verschicken?) und/oder die DKIM Prüfung (stammt die Mail unverändert vom Absender?) nicht den Anforderungen entspricht.
(s)p=none bedeutet es passiert nichts und ist bei Mailprovidern oft als Standard gesetzt, um Zustellungsprobleme zu vermeiden.
(s)p=quarantine verlangt die Kennzeichnung der Mail als Spam
(s)p=reject verlangt die Mail zu verwerfen

Alles in Allem würde ich sagen, dass es diesbezüglich keine Bedenken geben sollte, über UD Media seine Mails zu verschicken. Wegen der Meldung mit der DNS Rückwärtssuche habe ich den Support von UD Media angeschrieben und werde berichten, wenn ich eine Antwort erhalten habe.

so die entsprechenden Erklärungen im Internet. Die Anforderung stammt aber aus der Vor-SPF-Zeit. Ich kann mir vorstellen dass es mit SPF und DKIM weniger ernst genommen wird.

Ja, aber bei solchen Extras ist meist die Kehrseite dass zwar die Verschlüsselung erzwungen, die Authentifizierung aber auf der Strecke bleibt. Liegt daran, dass ein postfix das gar nicht kann, und meine Lösung dafür ist leider auch nicht megastabil.

ich würde dringend sp=reject empfehlen sonst schickt bald jemand Spam von Deiner www. subdomain. Und das ist Dein DMarc-Record, nicht der von UD.

Emaille und DNSSEC haben nichts, aber auch rein gar nichts miteinander zu tun. Und falls du E-Mail meintest, auch dann ist die Aussage schlicht falsch. Aber ich will weder eine Diskussion darüber mit dir führen noch dir die Fakten aufzeigen, da du schon an vielen anderen Stellen gezeigt hast, dass du nicht willens bist dein gefährliches Halbwissen und deine teils großen Verständnislücken anzugehen.

Mal unabhängig davon, was du mit @Joachim am Laufen hast (und ich hoffe, dass es hier nicht auf einer persönlichen Ebene weitergeht), würde es mich schon mit meinem zugegebenen Halbwissen interessieren, was du genau meinst.

Mein Wissen ist, dass der Schwachpunkt der Prüfungen mit SPF, DKIM und DMARC das reine Vertrauen in die Chain-of-Trust Kette der Zertifikate (CA) ist. Um eine zusätzliche Sicherheit zu bieten, ob die Zertifikate wirklich den beteiligten Server- und Domainbetreibern gehören und sich nicht ein unberechtigter Dritter dazwischen geschmuggelt hat, wurde DANE eingeführt, wofür die Voraussetzung DNSSEC ist.
Insofern kann ich deinen Einwand nicht so ganz nachvollziehen, warum es falsch ist zu sagen, will man die derzeit höchstmöglichen Sicherheitsprüfungen im Mailverkehr nutzen, sollte man als Grundvoraussetzung DNSSEC haben.

Eben kam die Rückmeldung, dass rDNS Thematik für mich nicht relevant sei.

Ebenso der Hinweis, dass eine durchgehend erzwungene TLS Verschlüsselung (Forced TLS) bei UD Media durch Hinzubuchen des „SpamExperts Profi Spamfilter“ möglich ist, empfehlen eine Forced TLS aber nur, wenn man sich sicher sind, dass alle Mailserver (Mailpartner), die mit Ihnen Kontakt haben, auch Forced TLS nutzen, da sonst viele Mailserver Mails nicht mehr zustellen können, da es kein flächendeckender Standard ist.

Ich bekam auch gerade eine Antwort von UD Media, unter anderem auch wegen MTA STS, gleiche Antwort wie bei dir.
Zusätzliche Domains kann man für 2,40€/Jahr aufschalten um dann die Nameserver von UDMedia für die Funktionen nutzen zu können.

Heißt das im Umkehrschluss aber das ich die Nameserver von Cloudflare nicht nutzen kann bzw. mich halt für eine von den zwei entscheiden muss, richtig?

Febas hat mir sogar am Sonntag noch geantwortet:
2FA für den E-Mail-Zugriff bieten wir leider nicht an. Der Zugriff erfolgt über IMAP oder POP3 über normale Zugangsdaten (Benutzername und Passwort).

SPF und DKIM bieten wir an. DMARC ist lediglich ein DNS-Eintrag, der vom Kunden selber erstellt werden muss. DNSSEC und DANE / MTA-STS bieten wir derzeit allerdings nicht an.

Auf die restlichen 3 warte ich noch.

@liv ich würde mich freuen wenn Du für Deinen Angriff Argumente bringen würdest. Kannst Du auch gerne per Email oder persönlicher Nachricht machen.

Email verwendet ganz viele DNS-Einträge, von den MX-Records über SPF,DKIM und DMARC bis zu den TLSA bei DANE. Ein Angreifer im DNS kann daher fast alle Authentifizierungsmechanismen umgehen. MTA-STS tanzt etwas aus der Reiche, wirkt aber nur im „Kartell“ der großen Anbieter.

kostenlos? vorrübergehend? Mich würde interessieren ob sie damit SMTP-DANE - wie mailbox.org - deaktivieren.

ich habe in sechs Jahren nur einen einzigen Mailserver erlebt, der STARTTLS nicht angeboten hat.

Der Spamfilter kostet bei jährlicher Abrechnung 2€/Monat/Domain. Man kann es 7 Tage lang testen. Ich habe es jetzt zum Testen aktiviert. Geht man auf die Einstellungen wird man auf die Loginseite des Spamfilters geleitet. Die Einstellungsmöglichkeiten sehen dabei sehr umfangreich aus und ich bin etwas damit überfordert.
Die TLS-HAndhabung für den eingehenden Mailverkehr habe ich nach dieser Anleitung eingestellt.
Für den ausgehenden Mailverkehr müsste ich nach dieser Anleitung wohl den SpamExpert Support kontaktieren, was dann wohl das wäre. was dich im Zusammenhang mit SMTP-DANE interessieren würde?

Das hieße doch auch, dass die Wahrscheinlichkeit einer durchgehenden TLS Verschlüsselung beim E-Mailverkehr recht hoch ist, auch ohne eine explizite EnforcedTLS Option.

Bin gerade über Tuta gestolpert, ist Foss, aus Deutschland, könnte passen? https://tuta.com/de/secure-email

Kann mir noch jemand erklären:
Angenommen ich miete die Domain bei Netcup, möchte die ganzen DNS Einstellungen(auch spf, dmarc etc.?) von Cloudflare, aber hoste das ganze bei UD Media… welche Voraussetzungen müssen gegeben sein damit das funktioniert und macht es überhaupt Sinn diesen extra Schritt?

Muss der Hoster das Unterstützen oder hat der damit nichts zu tun?
Der Registrar muss eigene DNS Einstellungen unterstützen, soweit weiß ich schon. Was bedeutet es wenn einer keinen „eigenen Nameserver“ erlaubt, würde das schon nicht mehr klappen?

Tut mir Leid für die dümmlichen Fragen aber das ist sehr verwirrend für mich, deswegen wärs vielleicht doch klüger die Domain und Hosting beim gleichen zu kaufen

Du musst Verträge mit allen 3 Anbietern abschließen.

Technisch ist das kein Problem.

Statt Cloudflare würde ich dir desec.io als DNS-Provider empfehlen.

Danke für die Rückmeldung.
Warum Desec anstatt Cloudflare? Vor/Nachteile?

genau. Meist wird es schlechter, zumindest für die Ziele die SMTP-DANE oder MTA-STS können.
Die Anleitungen könnten verwirrender nicht sein. Vielleicht bringt Deine Anfrage etwas Licht ins Dunkel.

ich frage auch; hast Du dafür Gründe? weil die in DE residieren? seit wann gibt es die?

Falls es jemanden interessiert:
Habe für meine Support Anfragen nun antworten bekommen (zwei von sechs fehlen noch) bezüglich meiner Frage ob Dane, mta sts, spf, dkim etc. möglich ist.

Antworten habe so gut es geht gekürzt.
Netcup: Über das Webhosting […] gewünschten DNS-Einträge setzen. […]wir nur die absolut notwendigen DNS-Einträge für Sie setzen.
Falls weitere Einträge wie DMARC, DANE usw. ergänzen wollen […] selbst schlaumachen müssen und im Customer Control Panel anpassen.

Febas:
2FA für den E-Mail-Zugriff bieten wir leider nicht an. Der Zugriff erfolgt über IMAP oder POP3 über normale Zugangsdaten.
SPF und DKIM bieten wir an. DMARC […] vom Kunden selber erstellt werden muss. DNSSEC und DANE / MTA-STS bieten wir derzeit allerdings nicht an

UD Media: […]alle genannten Features bis auf MTA-SAS bei uns in jedem Tarif mit E-Mail-Funktionalität nutzen. MTA STS nur über SpamExperts Lösung[…]nur empfehlenswert, wenn Sie sicher sind, dass alle Mailserver diese Form der Behandlung von E-Mails unterstützen. Das ist üblicherweise nicht der Fall.
Externe Domains […] 2,40 EUR/Jahr hinzugebucht werden.

Zu 2FA weiß ich nichts. Muss ich nochmal auf deren Webseite nachsehen.

Lima-City: grundsätzlich setzen wir all diese Mechanismen - bis auf MTA-STS - ein. Ob sie für einen sicheren E-Mail-Verkehr nötig sind dürfte diskutabel sein.

[…]gegen wen möchte man sich schützen? zB mit DANE und MTA-STS wird man sich primär vor Akteuren mit massiver Kontrolle schützen wollen (z.B. Staaten, Geheimdienste welche die Möglichkeit haben die Internetverbindung zu kontrollieren). Die können aber auch einfach mit einem Gerichtsbeschluss bei uns an die Server, das hat also wenig Einfluss.

Alles was sinnvoll ist setzen wir um, und mehr kann man eigentlich nicht tun, außer ein starkes Passwort zu verwenden.
2FA für E-Mail ist nicht verfügbar, weil das IMAP-Protokoll kein 2FA kann.
[…]DNS kann auch von externen Providern genutzt werden.

Manitu und Domaintechnik fehlen noch.
Generell würde ich sagen fällt für mich Febas schon weg, auch wenn @ToKu schon meinte, der Support schaltet DNSSEC frei?

Ansonsten bieten die restlichen alle wichtigen Funktionen an(außer MTA STS) aber die meisten kein 2FA. Bei Netcup bin ich mir nicht sicher.

Gut zu wissen das ich bei Netcup und Lima City definitiv auch andere Nameserver nutzen kann/darf, bei UD Media „vermutlich“ auch? Bei UD Media gefällts mir allerdings nicht das ich extra für eine andere Domain zahlen muss? Oder nur wenn ich deren Nameserver nutzen will?

Hmja… preislich wäre Netcup (mit deals) am besten und haben scheinbar auch keine Einschränkungen. Lima-City klingt auch ganz vernünftig… manitu und domaintechnik muss ich abwarten.

Ich glaube, nun kommt doch Einiges durcheinander.

Febas schaltet DNSSEC nicht frei. Febas bietet DNSSEC einfach nicht von sich aus an. Um DNSSEC trotzdem für seine Domain zu nutzen, braucht man einen externen DNS Betreiber, der DNSSEC unterstützt, wie die z.B. hier schon erwähnten desec.io und cloudflare. In den DNS Einstellungen der Domain, die bei Febas gehostet ist, muss man dann den Nameserver des DNS Betreibers eintragen. Alle weiteren DNS Einstellungen werden dann beim DNS Betreiber vorgenommen, so auch, die für DNSSEC nötigen DS Keys. Allerdings ist der DNS Betreiber nicht der Domainhoster und nur der kann die DNSSEC-Daten bei der Registry hinterlegen. Daher habe ich sie per Mail an den Febassupport geschickt, der willens war, sie der Registry bekannt zu machen.

MTA-STS kann man völlig unabhängig vom Hoster einrichten, solange man Zugriff auf die DNS Einstellung seiner Domain hat und einen TXT Record anlegen kann (auch bei UD Media ohne SpamExpert). Zusätzlich braucht man einen minimalen Webspace, den man mit einer SSL gesicherten Subdomain verbindet und dort einen Eintrag hochlädt, den dann andere Mailserver lesen können. Das Ganze ist ziemlich einfach und unabhängig vom Hoster zu lösen, sogar ohne Geld für einen Webspace auszugeben, wenn man ein Konto bei GitLab eröffnet und dieser Anleitung folgt oder es nach dieser Anleitung auf einem eigenen Webspace einrichtet.

Da es dir ja um die Nutzung von SPF, DKIM, DMARC, DANE/DNSSEC und MTA-STS geht, hier nochmal kurz zusammengefasst welche Möglichkeiten du dafür im Zusammenspiel mit einer eigenen Domain hast.

Für SPF, DKIM kannst du heutzutage eigentlich jeden Anbieter nehmen, da es die Basics sind. Für DMARC musst du im Zweifelsfall selber in den DNS Einstellungen der Domain einen TXT Eintrag anlegen können.

DANE benötigt DNSSEC als Voraussetzung, also brauchst du einen Domainanbieter, der für die Domain DNSSEC anbietet oder wie Febas willens ist, die bei einem externen DNS Betreiber erzeugten DNSSEC Daten bei der Registry zu hinterlegen.
Ob man dann aber immer DANE durch den Eintrag eines TLSA Records in den DNS Einstellungen selber anlegen kann oder der Betreiber des Mailservers auch dies explizit unterstützen muss, entzieht sich meiner Kenntnis. Im Falle von Febas habe die dort gehostete Domain ja mit Mailbox.org genutzt, die DANE anbieten. Ich kann mich nicht erinnern, dafür etwas Bestimmtes eingestellt zu haben.

Danke nochmal für die Klarstellung, ja tatsächlich verwirrt mich das ganze sehr und bin echt schon froh sobald das alles eingerichtet und erledigt ist

je mehr Dienstleister beteiligt sind, desto mehr Angriffsfläche hast Du. Ein paar sind unvermeidlich, inbesondere Registry und CA, weitere (z.B. DNS-Provider, Hoster, …) sollte man bewusst einsetzen oder auch nicht.

Wird es nicht bringen, da ich für den Support erst ein Account erstellen muss. Da ich den SpamExpertsfilter nicht nutzen werde, wird mir dies zu aufwendig.
Ich habe nur gesehen, dass man außer der Enforce TLS Encryption auch
Enforce DANE vom Supportteam einstellen lassen könnte.