Die Doku ist einfach grottenschlecht. Wie man DANE eingangsseitig erzwingen will ist mir ein Rätsel. Abgangsseitig DANE erzwingen führt dann wohl zu Fehlermeldungen wenn der Empfänger das nicht kann - also viel zu oft.
Jetzt muss ich doch nochmal nachhaken. Was ist CA?
Und zur Thematik „mehr Dienstleister, mehr Angriffsfläche“:
Sollte ich nun so vorgehen:
a) Domain bei X registriere
b) DNS Einstellungen von Y verwenden(desec/cloudflare)
c) E-Mail bei Z hosten
Da du oben meintest, es ist ratsam die Domain NICHT gleichzeitig beim Host zu haben um einen möglichen Umzug zu vereinfachen.
Oder:
a)Domain bei X registrieren
b)Hosting und DNS bei Y
Hier meintest du DNS beim Hoster zu nehmen wäre kurzsichtig? Wie meinst du das? Nochmal angemerkt: ich bin absoluter basic user. Deswegen meine Frage inwiefern sich das denn auf mich auswirken könnte oder überhaupt betrifft?
Und generell würde mich trotzdem der Unterschied von dnsec.io und cloudflare interessieren, konnte dazu leider nichts finden. @Cornelius
desec.io ist ein gemeinnütziger Verein mit Sitz in Berlin, der sich der Förderung der Verbreitung von Sicherheitsmaßnahmen zum Schutze von Verbraucherinnen und Verbrauchern im Internet verschrieben hat (siehe Satzung).
Cloudflare ist ein amerikanisches Unternehmen, das ein Content Delivery Network (CDN), Internetsicherheitsdienste (z.B Schutz vor DDoS-Angriffen) und verteilte DNS-Dienste bereitstellt. Da mittlerweile ein großer Teil des Internets über deren Dienste läuft, gibt es von einigen datenschutzrechtliche Bedenken gegen Cloudflare. Gib hier in der Forumssuche Cloudflare ein und mache dir selbst ein Bild von den Meinungen. Zumindest über deren DNS Dienst sagt Cloudflare selber, dass sie keine Nutzerdaten auswerten, sie 24 Stunden zu Debuggingzwecken aufheben und dann löschen.
2 „Gefällt mir“
CA = Certification Authority = Zertifizierungsstelle. Z.B. Letsencrypt.
wenn Du alles beim gleichen Anbieter machst (insbesondere in Bundles) hat der maximale Angriffsmöglichkeit. Ausschlaggebend ist für mich hier aber dass Du funktionale Probleme haben kannst.
Eine MTA-STS-Seite ganz wo anders zu betreiben würde ich aber vermeiden. Gitlab erscheint mir da besonders fragwürdig, weil der Dienst viel mehr kann als statische Dokumente zu servieren, und Komplexität korreliert leider mit Schwachstellen.
ich teile Deine Bedenken hinsichtlich des CDN (habe es versuchsweise ausprobiert und deaktiviert), nutze nur das DNS von denen.
2 „Gefällt mir“
Aus Datenschutzsicht wäre bei Bedarf ggfs. noch das Thema „IP-Stripping“ bei der Auswahl des Mail-Anbieters ein Punkt, den man berücksichtigen könnte.
Migadu (https://migadu.com) fällt mir noch ein.
In der EU - Pures Mailhosting ohne Schnick Schnack und leeren Versprechen. Auch sehr schön auf deren Websites zu lesen.
1 „Gefällt mir“
Guter Punkt stimmt, habe ich schon darüber gelesen aber wieder vergessen.
Netcup Deals von heute hauen mich nicht um. Warte dann noch auf Black Friday oder Weihnachtsdeals.
Migadu werde ich mir auch noch ansehen. Hatte es verwechselt mit Manitu.
IP-Stripping… Du bringst mich auf Ideen… das könnte mein Tester eigentlich auch auswerten.
Bin seit einigen Jahren bei Lima City. Sehr zufrieden, hohe Verfügbarkeit.
konnte bei bisherigen Tests weder SMTP-DANE noch MTA-STS.
Deren Antwort auf meine Support Anfrage lautete allerdings:
danke für die Anfrage, grundsätzlich setzen wir all diese Mechanismen - bis auf MTA-STS - ein.
Ist dein Test schon länger her? Vielleicht hat sich in der Zwischenzeit was getan.
Januar dieses Jahres.
Domaintechnik und Manitu haben eine Woche später noch immer keine Antwort geschickt, von daher fallen die auch raus. So ein Support kann mir fern bleiben.
Lima City fällt leider auch weg wenn die kein Dane können.
Netcup auch weil dort möchte ich die Domain kaufen, daher kein Hosting beim gleichen.
Bleibt mir noch UD Media als Hosting die alles erfüllen.
Oder Mailbox/Tuta, vielleicht auch Proton für aktuell 2€ pro Monat, dann bräuchte ich allerdings zusätzlich Simple Login für unendlich Aliase oder ich nutze Catch All. Das weiß ich noch nicht.
PS: Hat jemand Tipps wie man gute E-Mail Domain Name erfindet? Nachname möchte ich nicht verwenden. Scherznamen könnte in 1, 2 Jahre auf die nerven gehen und sonst… fällt mir schwer.
Im Netcupforum gibt es einen Bericht über Probleme mit der Netcup DNSSEC Implementierung, die sich schon seid ein paar Jahren hinzieht.
Bei UD Media gibt es wiederum einen Hilfeeintrag, der besagt, dass sie externe Domains nicht bei der DNSSEC Registrierung unterstützen (was das genau besagt und ob du dich halt nur selber bei deinem Domainhoster drum kümmern musst, ist mir nicht ganz klar).
Eine zwanghafte Trennung vom Domain- und Webhosting kann man machen, halte ich aber nicht für zwingend, zumal es kein großes Problem ist, mit seiner Domain immer noch zu einem anderen Hoster umzuziehen, außerdem verzichtest du damit (je nach Domainendung) auf eine eventuelle Inklusivdomain im Hostingpaket.
Ich würde dir empfehlen, wenn du sowieso zu UD Media tendierst, nimm deren Angebot inklusive Domain. Wie die ganzen Test zeigen, haben sie ja scheinbar eine saubere Implementierung von DNSSEC, DANE etc. , die so im Vergleich zu anderen Anbietern nicht selbstverständlich ist.
Wenn du dann noch das Bedürfnis hast, in Kombination mit anderen Hostern zu experimentieren, dann kaufe halt probehalbe noch woanders eine Domain auf die du dann nicht angewiesen bist und probiere die hier vorgeschlagenen Kombinationsmöglichkeiten aus.
Noch ein Tip zu UD Media. Noch vor ein paar Monaten gab es einen Flexhosting Tarif, wo du sehr individuell deren Leistungen zusammenstellen konntest. Allerdings ist er so für Neukunden nicht mehr verfügbar. Bestellst du aber ein Produkt von ihnen, wie z.B. einfach nur eine Domain (oder wahrscheinlich auch den 1€ Mailtarif) und bist damit Kunde, kannst du den Tarif immer noch über den Flextarif erweitern. So bekämst du dort für unter 2€/Monat einen Speicherplatz für deinen MTA-STS Eintrag, LetsEnrypt SSL für die für MTA-STS nötige Subdomain und individuelle Mailspeicherplatzgröße. Deine anfangs gebuchte Domain kannst du dann auch noch als Inklusivdomain einstellen.
Würdest du deren offizielles kleinstes Webhostingpaket Start 6.0 für 3€ buchen, wäre wohl keine Subdomain mit SSL dabei.
Ich würde eine Domain wählen, die keinen Rückschluss auf meinen Namen zulässt und eine Domain mit meinem Namen für die Kommunikation mit vertrauenswürdigen Kontakten.
Als ernsten Domainnamen kannst du gut klingende Kunstworte (wie wenn du einen Fantasienamen für ein neues Produkt finden müsstest) versuchen oder Synonyme zu Mailbox/Post/Nachricht oder etwas was dein Hobby oder ein sonstiges Interesse von dir ausdrückt.
2 „Gefällt mir“
Dann könnte man auch einfach den Post im gleichen Thread als Anregung nehmen und von den Vorteilen externer DNS-Server profitieren 
Habs vergessen zu erwähnen aber würde für DNS deSEC.io oder Cloudflare wählen. Dann sollte es kein Problem darstellen, richtig?
Ach nervt das schon wieder… ja hört sich für mich so an als kann man es nicht machen weil sie keine Lust dazu haben es der Registry zu melden. So wie sie es bei Febas für dich gemacht haben.
Schwierig, ich selbst kenne mich nicht aus damit aber habe auch außerhalb dieses Forums schon öfters gelesen man soll die Domain nicht gleichzeitig beim Hoster nehmen weil … ja weiß ich noch immer nicht zu 100%. Joachim meinte das auch. Und da ich mich selbst nicht auskenne muss ich mich dann auch irgendwo auf die Aussagen der klügeren verlassen.
Eine zweite Domain als BackUp, die man ja öfters auch benötigt als „Wiederherstellungsemail“ möchte ich mir sowieso auch holen.
Danke dir, sowas muss man auch erstmal wissen. Aber sollte DNSSEC mit der externen Domain wirklich nicht funktionieren, dann fällt der auch wieder weg, leider.
Vielen Dank, hilft mir schon etwas weiter das ich mal in diese Richtung überlege.
Ich hätte vor die DNS von Cloudflare oder DeSec zu verwenden. Dann ists kein Problem oder? Netcup hat einfach sehr gute Angebote für Domains deswegen würde ich gern bei denen kaufen.
Das ist ja nur die Domain, einen Mailaccount gibt es in der Regel nicht dazu…
Nein, ist kein Problem - nutze Cloudflare inkl. DNSSEC für mein Netcup Webhosting Paket - weiterer Vorteil, ich kann dank DockerContainer meine öffentliche IP direkt an Cloudflare übermitteln und muss nicht irgendwas via Router und Netcup Webspace basteln…
Mit einem entsprechenden ReverseProxy (Caddy via Debian VM) brauche ich mich auch nicht mehr um die SSL Zertifikate kümmern 
Sorry, nicht vollständig ausgedrückt. Meinte eine zweite Domain inkl. E-Mail Hosting natürlich.
Hmja und da steig ich auch direkt wieder aus, keine ahnung was das alles ist. Mir genügt es das du schreibst es ist kein Problem mit Cloudflare/DeSec und Netcup Domains 
1 „Gefällt mir“
Wollte nur aufzeigen, dass es noch weitere Vorteile mit sich bringt - wenn man z.b. zu Hause gewisse Dienste via NAS hostet, bzw. hosten möchte
Gerne auch via PM, da schon ein wenig Offtopic
1 „Gefällt mir“
Das bestreite ich nicht, aber ich zweifel, ob das Vorteile für @designersieb bringt.
Er wollte in erster Linie Email mit eigener Domain und SPF, DKIM, DMARC, DANE/DNSSEC und MTA-STS.
Im Gegensatz zu einigen anderen hier im Forum, die in diesen Themen einen professionellen Eindruck machen, gehöre ich mit meinem sehr begrenzten Wissen und Verständnis der Materie eher in die Kategorie @designersieb .
Ich will im Prinzip wie er Mail bei einem Anbieter, dem ich vertrauen kann, dass er dies möglichst korrekt umsetzt. Daher bin ich erstmal bei Mailbox.org gelandet.
Durch die Möglichkeit dort auch eine eigene Domain einzubinden, bin ich erst auf das Thema DNSSEC gestoßen und dass dafür bestimmte Voraussetzungen hinsichtlich der eigenen Domain erfüllt sein müssen.
Nach der anfänglichen Euphorie, dass das alle garnicht so kompliziert ist, muss ich mittlerweise feststellen, dass es mich doch ziemlich viel Zeit gekostet hat, ein Zusammenspiel zwischen verschiedenen Hostern hinzubekommen und auch die Frage, ob nun eigentlich alles korrekt eingestellt ist, lassen bei mir Zweifel aufkommen.
Ich habe 3 Kombinationen ausprobiert.
- Domain Hoster Febas/DNS-Betreiber desc.io/Mailhoster Mailbox.org
- Domain Hoster und DNS-Betreiber hosting.de/Mailhoster Mailbox.org
- Alle 3 Funktionen bei UD Media
und mit einem DNSSEC-Analyzer überprüft. Bei allen 3 gab es nur grüne Häkchen in allen Kategorien.
Auf derselben Seite von DNSSEC-Analyzer wird noch dnsviz.net zur weiteren Überprüfung empfohlen, die sehr schön grafisch die Kette der Abfragen darstellt und bei Kombination 1 und 2 doch Unstimmigkeiten aufweist.
Damit will ich sagen, dass, wenn man eigentlich keine Ahnung von der ganzen Materie hat, es für ein Produktivsystem besser wäre, einen Anbieter zu nehmen, bei dem alles zu funktionieren scheint.
Selbst wenn DNSSEC mit der eigenen Domain korrekt eingerichtet ist, heißt es noch lange nicht, dass dann auch DANE für das Mailsystem verwendet wird, wie diese Diskussion im Netcupforum zeigt.
Noch ein ganz anderes Thema bei Nutzung eines externen DNS Betreibers wäre, was eigentlich passiert, wenn die Keys erneuert werden. Sagen die dann einem Bescheid? Wie oft passiert das? Dann müsste ich doch die damit geänderten DS Einträge wieder mein Domainhoster melden oder einen Domainhoster haben, wo ich die DS Einträge selber in die DNS Einstellungen einfügen kann.
Das müsste man nachfragen. Für mich hört es sich eher so an, dass wenn die Kunden mit einer externen Domain zu UD Media gehen, also deren Nameserver benutzten auch erwarten, dass UD Media sich darum kümmert, dass der andere Domainhoster die DS Einträge von UD Media bekommt, damit er die DNSSEC Einträge vornimmt.
Wenn das so wäre, kann ich verstehen, warum denen das zuviel Aufwand ist. Also im Grund nichts anderes, wie ich die DS Einträge von desc.io selber an Febas übermitteln musste.
2 „Gefällt mir“