bitte nicht spekulieren sondern RFC 8461 lesen, der Cache soll bei Änderungen des TXT-Records invalidiert werden, und der gilt nur TTL lange.
Dafür gibt es den RFC 8078, aber der muss sowohl vom DNS-Anbieter als auch der Registry unterstützt werden.
Mittlerweile habe ich schon angefangen alle Account E-Mails zu ändern und K9 am Smartphone installiert/eingerichtet. War auch alles selbsterklärend und einfach.
Nach kurzer Zeit aber bekam ich plötzlich in der Webmail(hatte beides offen) diese Fehlermeldung: Maximum number of connections from user+IP exceeded (mail_max_userip_connections=10) und alles war weg. In K9 konnte ich auch nichts mehr aufrufen.
Was heißt das, was kann ich dagegen tun, wie lange hält dieser Status an? In blöden Situationen kann das wirklich mist sein wenn ich plötzlich keinen Zugriff mehr auf meine Mails habe.
Thunderbird:
- Konten-Einstellungen
- Postfach
- Server-Einstellungen
- Erweitert
=> Maximale Anzahl der aufrecht erhaltenen Serververbindungen = 2
1 „Gefällt mir“
Danke.
Thunderbird nutze ich allerdings (noch) nicht. Am PC vorerst nur Webmail, in diesem Fall roundcube.
In der K9 App konnte ich keine Einstellung zu Verbindungen finden stattdessen gibts die Einstellung wie viele Ordner gepusht werden sollen. Habe aber erstmal die Push Funktion deaktiviert, stattdessen Synchronisation. Bisher funktionierts.
Habe nun RFC 8461, 8078, 7344 gelesen. Was ich meine zu verstehen ist, dass trotz eines langen max_age Wertes, bei Änderung der id im MTA-STS DNS Eintrag, die anderen Mailserver nach Ablauf der TTL des DNS Eintrages gezwungen werden, den neuen Policy Eintrag abzurufen.
Kritisch ist also die Zeit der DNS Gültigkeit (oft auf 1 Stunde eingestellt).
Der Vorteil eines langen max_age Wertes von z.B. 6 Monaten wäre, also:
- Reduzierte Anzahl von Abfragen, was Bandbreite und Serverressourcen sparen würde
- Stabilität der Richtlinien: Ein langer Cache-Zeitraum würde die Richtlinie auch bei eine vorübergehenden Ausfällen eines HTTPS-Servers oder DNS behalten und die Zustellung einer Mail weiterhin gewährleisten.
Nachteile eines langen max_age-Werts wären hingegen:
- Längere Reaktionszeit bei Änderungen: Bei einer Änderungen der Policy (z. B. neue MX-Hosts, andere Sicherheitsmodi, Wechsel des Mailservers) dauert es länger, bis alle Mailserver diese Änderungen übernehmen und selbst mit einem aktualisierten mta-sts DNS-Eintrag einige Server die alte Policy beibehalten könnten, bis deren max_age abläuft.
Fazit, ein längerer max_age-Wert wäre nur sinnvoll, wenn ich sicher wäre, dass der Eintrage richtig ist und ich langfristig nicht vorhabe etwas zu ändern.
Eine Anfrage für einen MTA-STS Eintrag für eine eingebundene eigene Domain bei mailbox.org ergab deren Empfehlung von max_age: 2419200, also 28 Tagen.
Steht aber jetzt doch nicht im Widerspruch, dass im speziellen Fall von desec.io als DNS Betreiber und netcup als Domainregistrar für eine at Domain zur Zeit kein Automatismus erfolgt und somit die DS Records manuell aktualisiert werden müssten?
Im Zuge des ganzen Themas kam mir noch der Gedanke, ob die Mailserver von UD Media MTA-STS überhaupt unterstützen? Eine Anfrage bei ihnen ergab:
MTA-STS Policies können Sie auf Ihrem Webspace veröffentlichen. Dies gilt dann für eingehende E-Mails, sofern der versendete/externe Mailserver dies unterstützt.
Unsere E-Mail Server unterstützen MTA-STS nicht. Dies betrifft Ihre ausgehenden E-Mails.
Ein MTA-STS Eintrag ist also nicht völlig umsonst.
ist mir durchgerutscht. Ich spekuliere nicht, ich beobachte das auf meinem Testserver. Eine Spec heißt nicht automatisch, dass sich alle daran halten. Google holt die Policy sporadisch, aber nicht zwangsläufig bei Änderungen des _mta-sts-Records.
woraus schließt Du das? viele meiner Einträge haben 5 Minuten, andere empfehlen deutlich mehr.
vermutlich nur wenn eine sehr intensive Mailkommunikation besteht, also zwischen wirklich großen Providern. Alles andere wird wahrscheinlich sehr schnell verdrängt weil die Caches sonst zu viel Ressourcen fressen. Und damit gibt ein langer Zeitraum halt auch keine Garantie, dass authentifiziert wird - im Unterschied zu SMTP-DANE (RFC 7672).
Schreiben die vermutlich, weil jede andere Erklärung länger dauern würde.
UD Media kann SMTP-DANE, das ist besser und verbreiteter als MTA-STA.