Wie richte ich MTA-STS für den MDaemon Email Server ein?

Der MDaemon Email Server ermöglicht die Nutzung des MTA-STS Verfahrens, wodurch der Server öffentlich bekannt geben kann, dass er bei der Übertragung von Nachrichten per SMTP TLS-verschlüsselte Verbindungen unterstützt oder sogar voraussetzt.

Voraussetzungen


Erstellen der Richtlinie

Damit MTA-STS korrekt funktioniert, muss von Ihrem Server eine Richtlinie einsehbar sein. Hierfür muss eine über HTTPS abrufbare Datei erstellt werden. Diese Datei kann etwa so aussehen (ersetzen Sie die jeweiligen Werte bitte durch die bei Ihnen zutreffenden Angaben):

version: STSv1
mode: enforce
max_age: 10368000
mx: mail.mdaemon-schulung.de

  • version: Hier muss die STS-Version eingetragen werden. Aktuell existiert nur die STS-Version "STSv1".
  • mode: Hier sind die möglichen Werte "testing" oder "enforce". Nutzen Sie "testing", solange Sie sich noch in der Einrichtung befinden und stellen Sie dies auf "enforce" um, sobald sichergestellt wurde, dass MTA-STS bei Ihnen korrekt eingerichtet ist.
  • max_age: Dies ist die Angabe in Sekunden, wie lange ein Server nach dem Abruf dieser Richtlinie diese im Cache behalten darf. Setzen Sie diese herunter, wenn Sie wissen, dass in naher Zukunft die Angaben geändert werden sollen, damit ein Server nach der Umstellung nicht noch mit den veralteten Daten arbeitet, wenn er diese noch vor der Umstellung abgerufen hat.
  • mx: Hier werden alle Ihre Mailserver angegeben, für die diese Richtlinie gelten soll (welche also TLS zwingend verwenden sollen). Auch Wildcards sind hier zulässig (beispielsweise: *.mdaemon-schulung.de).

Die Datei mit diesem Inhalt muss unter dem Namen "mta-sts.txt" abgespeichert werden. Damit diese nun abgerufen werden kann, muss sie auf dem Webserver hinterlegt werden. Legen Sie dafür bitte die Datei auf dem MDaemon Server unter dem Pfad "\MDaemon\WorldClient\HTML\.well-known" ab.

Konfiguration auf DNS-Ebene

Die zuvor hinterlegte Richtliniendatei muss über die URL "https://mta-sts.<example.com>/.well-known/mta-sts.txt" abrufbar sein. Dafür müssen bestimmte DNS-Einträge gesetzt werden:
  • Der Webserver muss unter der Domäne "mta-sts.<example.com>" öffentlich erreichbar sein. Legen Sie dazu einen A-Eintrag oder einen CName-Eintrag mit dem Namen "mta-sts" an, welcher auf den Webserver von MDaemon verweist.
  • Es muss ein TXT-Record namens _mta-sts abrufbar sein. Hier werden noch einmal die STS-Version und die Richtlinien-ID angegeben. Die ID agiert als Zeitstempel für die auf Ihrem Webserver hinterlegte Richtlinie, muss also jedes Mal abgeändert werden, wenn Sie die Richtliniendatei bearbeiten und öffentlich stellen. Der Eintrag hat das folgende Format:

    "v=STSv1; id=ZPDZJDC6FILKF4PS1D2G71C37Z1JRQ36"

    Passen Sie die ID mit dem von Ihnen gewünschtem Wert an.
  • Es empfiehlt sich, zusätzlich einen TXT-Record namens _smtp._tls anzulegen. Dieser dient dem im RFC 8460 definierten Reporting für MTA-STS und ist bei der Analyse von Fehlern in diesem Zusammenhang sehr hilfreich. Hier werden sowohl die Version für das Reporting angegeben als auch die E-Mail-Adresse, an welche bestimmte Berichte geschickt werden sollen. Aktuell gibt es auch für das Reporting nur die Version 1. Der Eintrag hat das folgende Format:

    "v=TLSRPTv1; rua=mailto:postmaster@example.com"

    Passen Sie den "rua"-Wert durch die Adresse an, an die die Berichte gesendet werden sollen.

Überprüfen Sie Ihre Einstellungen final durch einen Online-Checker, beispielsweise diesen MTA-STS Validator.

Sollten Sie noch Fragen haben oder bei der Umsetzung der angegebenen Schritte Probleme auftreten, nehmen Sie gerne durch eine Supportanfrage über unsere Website oder direkt per E-Mail an support@ebertlang.com Kontakt mit uns auf.