MTA-STS und DANE/DNSSEC hast du dann bei mailbox.org mit eigener Domain ohne eigene weitere Initiative nicht.
Wie oben beschrieben muss der Domainhoster DNSSEC entweder selber anbieten oder willens sein, es einzutragen.
Für MTA-STS brauchst du selber einen minimalen Webspace und eine Subdomain mit SSL oder wie auch in der Antwort von mailbox.org beschrieben über Github, bei denen ich nachgefragt hatte.
Hier Antwort von mailbox.org:
Vielen Dank für Ihre Nachricht. Derzeit ist die Nutzung von MTA-STS über unsere Infrastruktur nicht möglich.
Sie benötigen daher einen eigenen vHost für die Einrichtung. Weiterhin benötigen Sie ein SSL-Zertifikat für Ihre Domain (z.B. über Let’s Encrypt), welches Sie beim vHost hinterlegen, um eine Verbindung über https zum vHost aufbauen zu können. Bitte kopieren Sie den Inhalt dieser Konfigurationsdatei und machen Sie sie auf dem vHost zugänglich:
[1] https://mta-sts.mailbox.org/.well-known/mta-sts.txt
Anbei die Einträge, welche im vHost hinterlegt werden müssen.
MTA-STS
_mta-sts.YOUR-DOMAIN.xyz A $YOURvHost
TLS-RPT
_smtp._tls.YOUR-DOMAIN.xyz TXT v=TLSRPTv1; rua=mailto:$LOCALPART@YOUR-DOMAIN.xyz
Anbei eine alternative Einrichtungsanleitung über github:
[2] https://emailsecurity.blog/hosting-your-mta-sts-policy-using-github-pages
Auch bei UDmedia läuft nicht alles automatisch, hier meine Anfragen bezüglich MTA-STS und TLSA:
Frage:
Unterstüzt UD Media TLSA Records in den DNS Einstellungen und gibt es dazu von ihnen eine Anleitung? Müsste ich dann alle 3 Monate, wenn die Let’s Encrypt Zertifikate erneuert werden, auch händisch die TLSA Einträge erneuern oder bieten sie eine Automatisierung an?
Meine zweite Frage wäre, wenn ich auf dem Webspace eine MTA-STS Policy hinzufüge und die entsprechenden Einträge in den DNS Einstellungen hinterlege, kann der UD Media Mail Server damit überhaupt umgehen?
Antwort:
TLSA-Records können Sie im Kundenmenü setzen, sofern die Domain von uns verwaltet wird.
Für Let’s Encrypt empfehlen wir den Publickey des Zertifikats zu setzen. Dieser ändert sich in unserer Implementierung auch bei einer Verlängerung nicht. Wir selbst machen das auch so. Wir erzeugen pro Domain ein eigenes Zertifikat. Subdomains teilen sich das Zertifikat mit der Domain.
MTA-STS Policies können Sie auf Ihrem Webspace veröffentlichen. Dies gilt dann für eingehende E-Mails, sofern der versendete/externe Mailserver dies unterstützt.
Unsere E-Mail Server unterstützen MTA-STS nicht. Dies betrifft Ihre ausgehenden E-Mails.
Frage:
Gibt es einen bestimmten Grund warum die Server ausgangsseitig MTA-STS nicht unterstützen?
Antwort:
MTA-STS wurde von Google vorangetrieben, weil ihnen der bereits existierende Standard DANE nicht „gefiel“. Da es DNSSEC zwingend erfordert. Entsprechend gering ist auch die Verbreitung von MTA-STS. Eigentlich verwenden es nur die großen E-Mail Anbieter Google und Microsoft.
Wir haben es daher schlichtweg einfach nicht implementiert. Unsere E-Mail Server unterstützen aber DANE. Und alle von uns verwaltenden Domains werden DNSSEC gesichert. Wir waren hier einer der ersten Anbieter die das 2015 großflächig umgesetzt haben: https://mail.sys4.de/pipermail/dane-users/2015-July/000214.html
Frage:
Ihre SMTP-DANE Unterstützung, war auch einer der Gründe bei ihnen Kunde zu werden. Wäre es denn nicht zusätzlich zu DANE/DESSEC eine Ergänzung, MTA-STS zu implementieren, um auch die Server zu unterstützen, die eben nicht DANE aber MTA-STS haben?
Antwort:
Sie können es im Kundenmenü als Feature Anfrage „wünschen“. Weitere Kunden können sich dann Ihnen anschließen. Unmittelbar wird eine Umsetzung aber nicht statt finden. Rechnen Sie eher mit 1/2 Jahr und länger.
Die Featureanfrage habe ich bei UDmedia noch nicht gemacht, aber falls jemand ebenfalls daran Interesse hat, kann dies gerne tun. Je mehr Leute danach fragen, umso besser.