Wie richte ich MTA-STS für den MDaemon Email Server ein?
Der MDaemon Email Server ermöglicht die Nutzung des MTA-STS Verfahrens, wodurch der Server öffentlich bekannt geben kann, dass er bei der Übertragung von Nachrichten per SMTP TLS-verschlüsselte Verbindungen unterstützt oder sogar voraussetzt.
Voraussetzungen
- STARTTLS ist auf dem Server unter Sicherheit → Sicherheits-Manager → SSL & TLS → MDaemon aktiviert.
- Der Webserver ist über HTTPS erreichbar.
- Es muss ein gültiges SSL/TLS-Zertifikat für den Server ausgestellt sein. Selbstsignierte Zertifikate sind hier nicht möglich. Sie können dafür entweder ein offizielles Zertifikat kaufen und einbinden oder von MDaemon ein kostenloses LetsEncrypt-Zertifikat generieren lassen.
- Der E-Mail-Server unterstützt mindestens die TLS-Version 1.2.
Erstellen der Richtlinie
Damit MTA-STS korrekt funktioniert, muss von Ihrem Server eine Richtlinie einsehbar sein. Hierfür muss eine über HTTPS abrufbare Datei erstellt werden. Diese Datei kann etwa so aussehen (ersetzen Sie die jeweiligen Werte bitte durch die bei Ihnen zutreffenden Angaben):
version: STSv1
mode: enforce
max_age: 10368000
mx: mail.mdaemon-schulung.de
- version: Hier muss die STS-Version eingetragen werden. Aktuell existiert nur die STS-Version "STSv1".
- mode: Hier sind die möglichen Werte "testing" oder "enforce". Nutzen Sie "testing", solange Sie sich noch in der Einrichtung befinden und stellen Sie dies auf "enforce" um, sobald sichergestellt wurde, dass MTA-STS bei Ihnen korrekt eingerichtet ist.
- max_age: Dies ist die Angabe in Sekunden, wie lange ein Server nach dem Abruf dieser Richtlinie diese im Cache behalten darf. Setzen Sie diese herunter, wenn Sie wissen, dass in naher Zukunft die Angaben geändert werden sollen, damit ein Server nach der Umstellung nicht noch mit den veralteten Daten arbeitet, wenn er diese noch vor der Umstellung abgerufen hat.
- mx: Hier werden alle Ihre Mailserver angegeben, für die diese Richtlinie gelten soll (welche also TLS zwingend verwenden sollen). Auch Wildcards sind hier zulässig (beispielsweise: *.mdaemon-schulung.de).
Die Datei mit diesem Inhalt muss unter dem Namen "mta-sts.txt" abgespeichert werden. Damit diese nun abgerufen werden kann, muss sie auf dem Webserver hinterlegt werden. Legen Sie dafür bitte die Datei auf dem MDaemon Server unter dem Pfad "\MDaemon\WorldClient\HTML\.well-known" ab.
Hinweis zum SecurityGateway
Um MTA-STS für das SecurityGateway einzurichten, muss die Datei unter folgendem Pfad hinterlegt werden: "C:\Program Files\MDaemon Technologies\SecurityGateway\Templates\.well-known". Falls der Ordner nicht existieren sollte, legen Sie diesen bitte an.
Konfiguration auf DNS-Ebene
Die zuvor hinterlegte Richtliniendatei muss über die URL "https://mta-sts.<example.com>/.well-known/mta-sts.txt" abrufbar sein. Dafür müssen bestimmte DNS-Einträge gesetzt werden:
- Der Webserver muss unter der Domäne "mta-sts.<example.com>" öffentlich erreichbar sein. Legen Sie dazu einen A-Eintrag oder einen CName-Eintrag mit dem Namen "mta-sts" an, welcher auf den Webserver von MDaemon verweist.
- Es muss ein TXT-Record namens _mta-sts abrufbar sein. Hier werden noch einmal die STS-Version und die Richtlinien-ID angegeben. Die ID agiert als Zeitstempel für die auf Ihrem Webserver hinterlegte Richtlinie, muss also jedes Mal abgeändert werden, wenn Sie die Richtliniendatei bearbeiten und öffentlich stellen. Der Eintrag hat das folgende Format:
"v=STSv1; id=ZPDZJDC6FILKF4PS1D2G71C37Z1JRQ36"Passen Sie die ID mit dem von Ihnen gewünschtem Wert an. - Es empfiehlt sich, zusätzlich einen TXT-Record namens _smtp._tls anzulegen. Dieser dient dem im RFC 8460 definierten Reporting für MTA-STS und ist bei der Analyse von Fehlern in diesem Zusammenhang sehr hilfreich. Hier werden sowohl die Version für das Reporting angegeben als auch die E-Mail-Adresse, an welche bestimmte Berichte geschickt werden sollen. Aktuell gibt es auch für das Reporting nur die Version 1. Der Eintrag hat das folgende Format:
"v=TLSRPTv1; rua=mailto:postmaster@example.com"Passen Sie den "rua"-Wert durch die Adresse an, an die die Berichte gesendet werden sollen.
Überprüfen Sie Ihre Einstellungen final durch einen Online-Checker, beispielsweise diesen MTA-STS Validator.
Sollten Sie noch Fragen haben oder bei der Umsetzung der angegebenen Schritte Probleme auftreten, nehmen Sie gerne durch eine Supportanfrage über unsere Website oder direkt per E-Mail an support@elovade.com Kontakt mit uns auf.
Related Articles
MDaemon Email Server Installationanleitung
Zielgruppe/Voraussetzungen Der MDaemon Email Server benötigt einen Rechner mit Microsoft Windows 10 / 11 / Windows Server 2025 / 2022 / 2019 / 2016 / 2012 in 64-bit. Alle weiteren Systemanforderungen können Sie hier einsehen. Der erforderliche ...MDaemon Email Server: Konfiguration und Nutzung von Clustering
In diesem Artikel zeigen wir Ihnen, wie Sie das neue Clustering-Feature des MDaemon Email Server richtig konfigurieren und einsetzen. Die Funktion dient dazu, die Konfiguration des Mail- und Groupware-Servers auf mehrere weitere Server zu spiegeln, ...Verwaltung von Ressourcen im MDaemon Email Server
In diesem Artikel zeigen wir Ihnen, wie Sie im MDaemon Email Server Ressourcen wie ein Raumpostfach (Besprechungsräume) oder Gerätepostfach (Fahrzeuge und andere technische Geräte wie einen Beamer) anlegen und verwalten können. Dafür gehen Sie wie ...Mailinglisten im MDaemon Email Server erstellen
Der MDaemon Email Server bietet Ihnen in Version 20 neben umfangreichen Groupware-Funktionalitäten auch umfassende Konfigurationsmöglichkeiten für Mailinglisten. In folgendem Artikel zeigen wir Ihnen, wie Sie in dem Mail- und Groupwareserver ...Wie funktioniert die automatische MDaemon Server-Aktualisierung?
Im folgenden Artikel wird beschrieben, wie Sie im MDaemon Email Server die automatische Softwareaktualisierung aktivieren. Diese bietet die Funktion, automatisch nach neuen MDaemon-Versionen zu suchen und diese dann manuell oder automatisiert zu ...