Mir war gar nicht bewusst, dass man hier händisch eingreifen muss. Dachte das funktioniert automatisch.
Würde mich auch interessieren wie hier der Ablauf ist bzw. ob man hier irgendwie Bescheid bekommt das sich die Keys geändert haben.
ich habe mir gelb (Ciphers (Algorithm selections)) und rot (https://en.internet.nl/mail/lindenberg.one/1372397/#control-panel-17) angesehen und mit den Empfehlungen in https://www.postfix.org/FORWARD_SECRECY_README.html verglichen. Bin zum Schluss gekommen, dass das bei einem aktuellen Peer keine Sicherheit einbüßt, aber die Interoperabilität mit älteren Peers verbessert.Leider zeigt der Test nicht die ganze Auswahlliste an - aber meiner ja auch nicht.
Hat jemand eine andere Meinung dazu?
(und wenn das heiß diskutiert wird bietet es sich an, das Thema abzutrennen)
1 „Gefällt mir“
In dem Test https://blog.lindenberg.one/EmailTestAuthentifizierungEingang schneidet mailbox.org aber nicht wirklich gut ab.
Krass, das hätte ich so nicht erwartet.
Da es dasselbe Ergebnis ist wie bei meinem Test mit meiner Domain bei UD Media habe ich bei denen nachgefragt und folgende Antwort erhalten:
Die Seite überprüft nur das SMTP-Service für eingehende E-Mails von externen E-Mail Servern. Es überprüft nicht die Einstellung für den E-Mail Versand unserer Kunden Verbindungen auf Port 587, die sich sicherheitstechnisch stark unterscheiden.
Beispielsweise wird TLS 1.0 (und TLS 1.1, was sicherheitstechnisch gleich „schlecht“ ist) derzeit noch erlaubt, damit Verbindungen von älteren, externen E-Mail Servern weiterhin verschlüsselt bleiben. Die Alternative dazu wäre eine unverschlüsselte Verbindung. Die Cipher AES256-GCM-SHA384 ist die einzige Cipher die für TLS 1.1/1.0 erlaubt ist. Sie ist also technisch notwendig.
Bzgl DH-4096: OpenSSL verwendet die vordefinierten Diffie-Hellman Parameter aus RFC 3526. Die Seite möchte die Parameter aus RFC 7919. Für TLS 1.3 ist RFC 7919 zwang, für TLS 1.2 möglich. https://github.com/openssl/openssl/pull/24551
@designersieb Ich habe jetzt die externe Domain bei UD Media angemeldet. Kostet, wie du schon sagtest, pro Jahr 2,40 € zusätzlich zum Email/Webhostingtarif. Die Domain hat desec.io als DNS-Betreiber, so dass ich mit dieser Domain nur Mail- und Webhosting über UD Media nutze. Funktioniert wunderbar und alle Server- und Mailtests zeigen keinen Unterschied zu einer meiner anderen Domain, die komplett über UD Media läuft und scheinen laut den Tests vorbildlich konfiguriert zu sein.
Eine externe Domain, die DNSSEC Unterstützung haben soll, muss entweder über den externen Domainbetreiber diese Unterstützung inkludiert haben oder bei einem externen DNS-Betreiber mit DNSSEC Unterstützung eingetragen sein.
1 „Gefällt mir“
Hey vielen vielen Dank fürs testen, das freut mich zu hören. Heißt also UD Media wäre aufjedenfall ein super möglicher Anbieter für mich und auch nicht teuer.
Damit ich das richtig verstanden habe: das heißt entweder zB Netcup ermöglicht die DNSSEC aktivierung ODER ich nutze einfach deSEC als DNS Betreiber, in beide Fälle würde DNSSEC funktioniern, richtig so?
Sieht so aus oder allgemeiner, Domainhoster mit DNSSEC Unterstützung oder die Kombination Domainhoster plus DNS-Betreiber, wobei dann der Domainhoster die Möglichkeit bereitstellen sollte, dass DNS-Records vom DNS-Betreiber beim Domainhoster selber eingetragen werden können oder der Domainhoster willens ist, dies für einen zu tun.
Wie es so aussieht hängt die „Güte“ einer DNSSEC Unterstützung auch von der Konfiguration des Serverbetreibers hab. Ein Test wie https://dnsviz.net/ stellt das sehr schön grafisch dar.
dnsviz sagt in meinen Augen wenig über den Anbieter sondern über die Konsistenz der selbstgemachten Einträge (kann man auch Konfiguration nennen) wie z.B. ein kollidierender CNAME. Oder was hast Du für Probleme damit gefunden?
ich halte die Begriffe für unglücklich. Ich würde von Registry (z.B. DENIC), Registrar (Dein Verkäufer, z.B. netcup) und dem DNS-Betreiber schreiben. Mit der Registry hat man selten direkt zu tun sondern wickelt das über den Registrar ab. Der Registrar muss die Records für Nameserver und DNSSEC des DNS-Betreibers bei der Registry eintragen.
Und leider kann nicht jeder Registrar mit jeder Registry…
Key rollover kann mit RFC 7344/8078 automatisch passieren.
Aber (bisher) nicht bei Cloudflare. Cloudflare verwendet bisher denselben Schlüssel für alle Domänen (https://blog.cloudflare.com/foundation-dns-launch/#unique-dnssec-keys-per-account-and-zone).
@Joachim Erstmal vielen Dank für die Präzisierung der Begrifflichkeiten Registrar, Registry usw.
Wenn ich mich allerdings eines Web/Emailhosters bediene und keinen eigenen Server betreibe, sehe ich doch damit, ob mein Anbieter die Einträge korrekt gemacht hat oder ob Warnungen oder sogar Fehlermeldungen auftauchen.
Habe ich es nun denn richtig verstanden, dass bei einem Keyrollover des DNS-Betreibers sich auch die DS Records und DNSkey ändern und ich diese Änderung dem Domainregistrar mitteilen muss? Und das dies sowohl bei Cloudflare und auch bei desec.io aber auf absehbare Zeit nicht stattfindet?
@Joachim Funktioniert eigentlich dein EmailTestAuthentifizierungseingang noch? Mails kommen immer mit „en@it.lindenberg.one: Server certificate not verified“ als unzustellbar zurück-
welcher Anbieter? Registrar oder DNS? Bei ersterem nie einen Fehler gesehen, bei letzterem nur wenn ich selbst Mist gepflegt habe.
Da haben sich leider Konfigurationsfehler eingeschlichen. Sollte jetzt wieder tun. Am besten alle Mails wegwerfen (da können welche fehlen) und neu starten.
Spannender Thread! Ich schau mich ebenfalls nach Lösungen für eine eigene E-Mail Domain um. Hoffe, Anregungen und Fragen sind im Sinne von @designersieb:
DNSSEC/Nameserver von netcup ist also nicht empfehlenswert. Die scheinen das Problem auch nach mehreren Jahren und Rückmeldung (offensichtlich gereizter) Kunden nicht in den Griff zu bekommen. Das wirkt leider nicht kompetent auf mich - entweder man bietet das Feature an oder lässt es sein.
Hostet @kuketzblog nicht auch bei netcup mit DNSSEC-Unterstützung - oder wird ein externer DNS-Provider verwendet? Erfahrungswerte würden mich hier interessieren.
Bezüglich deSEC:
Basiert das Geschäftsmodell ausschließlich auf Spenden? Ich hoffe, Betriebskosten sind so abgedeckt, dass der Verein langlebig weiter machen kann. Mit separatem DNS-Provider holt man sich eine weitere Partei ins Boot und sollte damit Aspekte zur Sicherheit und Verfügbarkeit mitbedenken. Bislang lese ich nur Gutes.
Definitiv, so viel über E-Mails zu lesen aber auch was es alles zu beachten gibt, hat mich sogar ein wenig überwältig 
Leider sieht es so aus. Aber die Angebote von Netcup für Domains sind mMn richtig gut, zum Black Friday auch sicherlich wieder gutes dabei.
Dafür den DNS von DeSEC.
Hosting wird vermutlich UD Media im billigsten Tarif.
Wäre Plan A.
Sollte sich was ändern wäre Plan B fast der gleiche aber Hosting bei zB Proton(gibts aktuell für 2€ pro Monat), oder Mailbox.org + SimpleLogin für die ganzen Aliase.
NACHTRAG: Nach einiger Überlegungen für Domainnamen habe ich mir die Frage gestellt: Ist es ein Problem wenn meine @domain.tld bereits als Firma vorhanden ist aber mit anderer .tld? Ich würde damit nie eine Webseite machen, nur als E-Mail verwenden. Aber greift hier eine Art Markenrecht obwohl ich nie irgendwas damit bewerbe/verkaufe ?
Hier in den FAQs von core-networks sind viele Fragen und Antworten, die man rund um Domain, Mail, DNS, DNSSEC/DANE haben könnte.
Außerdem betreiben sie Nameserver mit voller DNSSEC Unterstützung, zwar nicht kostenlos, aber vielleicht eine weitere Alternative zu disec.io und cloudflare.
Morgen ist es soweit, es kommen Domain Aktionen bei Netcup dann werde ich mir eine holen.
Ich weiß allerdings noch immer nicht zu 100% wie ich meine E-mails strukturieren soll.
Verschiedene „Bereiche“: shopping@ finanzen@ gaming@
oder „anbieter1234@“ mit Zahlen zB Erstellungsdatum einfach deswegen das man nicht so leicht gespamt werden kann wenn man nur zB amazon@domain verwendet.
Ansonsten wüsste ich keine andere Methode mehr.
Habt ihr noch Ideen wie man es sinnvoll strukturieren kann?
Ich mache es so:
shopping-anbieter1234@domain
finanzen-anbieter2345@domain
gaming-anbieter3456@domain
Ich generiere zufällige Alias-Email-Adressen im Passwort-Manager und speichere diese gleich zum Account.
Gefällt mir auch gut oder sogar besser und man kann so direkt eine gute Ordnung reinbringen indem alle shopping Mails zB in das Shopping Postfach gehen.
@Chief1945
Danke dir, ja auch eine Möglichkeit.
An alle: ich habe nun eine Domain registriert aber bin gerade ratlos was ich mit dem AVV Vertrag machen soll/kann/muss. Als Privatperson in Österreich welche die Domain nur als E-Mail nutzt, muss ich diesen AVV Vertrag ausfüllen?
AVV mit wem? Dem Registar? DNS-Anbieter? Email-Anbieter?
Als reine Privatperson unterliegst Du nicht der DSGVO, m.W. auch nicht in Österreich, aber wirf einen Blick in Euer DSG. Reine Email ist aufgrund von Art. 95 DSGVO speziell, die deutschen Aufsichten fordern keinen AVV, Noyb hält das für falsch, wie die österreichische Aufsicht das sieht erfährst Du bei der - Du musst ja nicht sagen dass Du reine Privatperson bist. Ich wäre neugierig… 
In diesem Fall mit Netcup als Registrar bzw. im Grunde ja nur „Vermittler“ damit die Domain bei NIC.at registriert wird. Die Domain werde ich wo anders hosten.
dafür brauchst Du meiner Auffassung nach keinen AVV, denn die bzw. das NIC.at bestimmen die Zwecke und Mittel und sind damit Verantwortliche.
1 „Gefällt mir“
Danke dir.
Ich wüsste sonst auch nicht inwiefern ich Daten verarbeiten sollte wenn ich die Domain nur für mich als E-Mail verwende anstatt zB zum betreiben eines Shops, Forum usw.