Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
tachtler:postfix_centos_7_-_mta-sts_einsetzen [2019/03/12 08:50] – [Erstellung DNS-Einträge] klaus | tachtler:postfix_centos_7_-_mta-sts_einsetzen [2023/11/20 07:59] (aktuell) – [Postfix CentOS 7 - MTA-STS einsetzen] klaus |
---|
**//Quellen://** | **//Quellen://** |
* //[[https://datatracker.ietf.org/doc/rfc8461/|SMTP MTA Strict Transport Security (MTA-STS) - RFC 8461]]// | * //[[https://datatracker.ietf.org/doc/rfc8461/|SMTP MTA Strict Transport Security (MTA-STS) - RFC 8461]]// |
* //[[https://aykevl.nl/apps/mta-sts/|MTA-STS validator]]// | * //[[https://www.mailhardener.com/tools/mta-sts-validator/|MTA-STS validator]]// |
* //[[https://blog.sys4.de/mta-sts-bei-sys4-de.html|MTA-STS bei sys4]]// | * //[[https://sys4.de/blog/mta-sts|MTA-STS bei sys4]]// |
| |
Ab hier werden zur Ausführung nachfolgender Befehle **''root''**-Rechte benötigt. Um der Benutzer ''root'' zu werden, melden Sie sich bitte als ''root''-Benutzer am System an, oder wechseln mit nachfolgendem Befehl zum Benutzer ''root'': | Ab hier werden zur Ausführung nachfolgender Befehle **''root''**-Rechte benötigt. Um der Benutzer ''root'' zu werden, melden Sie sich bitte als ''root''-Benutzer am System an, oder wechseln mit nachfolgendem Befehl zum Benutzer ''root'': |
===== Konfiguration: MTA-STS Web-Seite ===== | ===== Konfiguration: MTA-STS Web-Seite ===== |
| |
Nachfolgend soll die Konfiguration eines [[http://httpd.apache.org/|Apache HTTP Servers]] durchgeführt werden, um die **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite mit der Policy zur anzeige zu bringen. | Nachfolgend soll die Konfiguration eines [[http://httpd.apache.org/|Apache HTTP Servers]] durchgeführt werden, um die **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite mit der Policy zur Anzeige zu bringen. |
| |
==== Voraussetzungen ==== | ==== Voraussetzungen ==== |
==== /var/www/mta-sts/mta-sts.txt ==== | ==== /var/www/mta-sts/mta-sts.txt ==== |
| |
Anschließend kann mit nachfolgendem Befehl die **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite / Policy **direkt** in dem neu erstellte Verzeichnis, in einer einfachen Datei, mit nachfolgendem Namen | Anschließend kann mit nachfolgendem Befehl die **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite / Policy **direkt** in dem neu erstellten Verzeichnis, in einer einfachen Datei, mit nachfolgendem Namen |
* **''/var/www/mta-sts/mta-sts.txt''** | * **''/var/www/mta-sts/mta-sts.txt''** |
**erstellt** werden: | **erstellt** werden: |
mx: mx1.nausch.org | mx: mx1.nausch.org |
mx: *.nausch.org | mx: *.nausch.org |
max_age: 604800 | max_age: 10368000 |
</code> | </code> |
| |
^ Policy-Schlüssel ^ Policy-Wert ^ | ^ Policy-Schlüssel ^ Policy-Wert ^ |
| **''version''** | In der aktuellen Fassung unterstützt **MTA-STS** **__nur__** **Version 1**, was durch die Zeichenfolge **''STSv1''** ausgedrückt wird. | | | **''version''** | In der aktuellen Fassung unterstützt **MTA-STS** **__nur__** **Version 1**, was durch die Zeichenfolge **''STSv1''** ausgedrückt wird. | |
| **''mode''** | In diesem Feld wird die Richtlinien veröffentlicht. Möglich Werte sind "enforce", "testing" oder "none". | | | **''mode''** | In diesem Feld wird die Richtlinie veröffentlicht. Möglich Werte sind "enforce", "testing" oder "none". | |
| **''mx''** | Diese **Felder können __öfter vorkommen__** und beschreiben die E-Mail-Server, die für die Domäne E-Mails annehmen dürfen. (**Auch ggf. Backup-E-Mail-Server angeben!**)| | | **''mx''** | Diese **Felder können __öfter vorkommen__** und beschreiben die E-Mail-Server, die für die Domäne E-Mails annehmen dürfen. (**Auch ggf. Backup-E-Mail-Server angeben!**)| |
| **''max_age''** | Mit diesem Feld wird angegegben, wie lange die Policy gilt. Absender können die Richtline cachen, so dass die **MTA-STS** Policy nicht bei jedem Zustellversuch angefragt werden muss. | | | **''max_age''** | Mit diesem Feld wird angegeben, wie lange die Policy gilt. Absender können die Richtline cachen, so dass die **MTA-STS** Policy nicht bei jedem Zustellversuch angefragt werden muss. | |
| |
Die Adresse für die Veröffentlichung der Policy ist auch im RFC vorgegeben. Deshalb bekommt ein Absender unter **MTA-STS** die entsprechende Richtlinie: | Die Adresse für die Veröffentlichung der Policy ist auch im RFC vorgegeben. Deshalb bekommt ein Absender unter **MTA-STS** die entsprechende Richtlinie: |
</code> | </code> |
| |
:!: **HINWEIS** - Zu beachten ist hier, die Zeilen mit den Inhalten | :!: **HINWEIS** - Zu beachten sind hier, die Zeilen mit den Inhalten |
* **''Alias /.well-known/mta-sts.txt /var/www/mta-sts/mta-sts.txt''** - Verweis auf die **Text-Datei**! | * **''Alias /.well-known/mta-sts.txt /var/www/mta-sts/mta-sts.txt''** - Verweis auf die **Text-Datei**! |
* **''DirectoryIndex mta-sts.txt''** - da hier die erste Seite der Anwendung eine **Text-Datei** ist! | * **''DirectoryIndex mta-sts.txt''** - da hier die erste Seite der Anwendung eine **Text-Datei** ist! |
<code dns> | <code dns> |
_mta-sts.tachtler.net. IN TXT "v=STSv1; id=20190312010001;" | _mta-sts.tachtler.net. IN TXT "v=STSv1; id=20190312010001;" |
| </code> |
| |
| ==== DNS-Eintrag: SMTP-TLSRPT ==== |
| |
| Nachfolgend der Aufbau des benötigten DNS-Eintrags für |
| * **Typ: ''TXT''**, **SMTP-TLSRPT**, zu Bestimmung der SMPT-TLS-Benachrichtigungs E-Mail-Adresse. |
| <code dns> |
| _smtp._tls.tachtler.net. IN TXT "v=TLSRPTv1; rua=mailto:mta-sts@tachtler.net" |
</code> | </code> |
| |
| |
Nachfolgende externe Links führen zu verschiedenen Test Werkzeugen: | Nachfolgende externe Links führen zu verschiedenen Test Werkzeugen: |
* **[[https://aykevl.nl/apps/mta-sts/|MTA-STS validator]]** | * **[[https://www.mailhardener.com/tools/mta-sts-validator|MTA-STS validator]]** |
* **[[https://www.hardenize.com/|Hardenize]]** | * **[[https://www.hardenize.com/|Hardenize]]** |
| |