Tachtler's DokuWiki

Homepage | Kontakt | Rechtliche Informationen | Impressum

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
tachtler:postfix_centos_7_-_mta-sts_einsetzen

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
tachtler:postfix_centos_7_-_mta-sts_einsetzen [2019/03/12 08:03] – [/var/www/mta-sts/mta-sts.txt] klaustachtler:postfix_centos_7_-_mta-sts_einsetzen [2023/11/20 07:59] (aktuell) – [Postfix CentOS 7 - MTA-STS einsetzen] klaus
Zeile 16: Zeile 16:
 **//Quellen://** **//Quellen://**
   * //[[https://datatracker.ietf.org/doc/rfc8461/|SMTP MTA Strict Transport Security (MTA-STS) - RFC 8461]]//   * //[[https://datatracker.ietf.org/doc/rfc8461/|SMTP MTA Strict Transport Security (MTA-STS) - RFC 8461]]//
-  * //[[https://aykevl.nl/apps/mta-sts/|MTA-STS validator]]// +  * //[[https://www.mailhardener.com/tools/mta-sts-validator/|MTA-STS validator]]// 
-  * //[[https://blog.sys4.de/mta-sts-bei-sys4-de.html|MTA-STS bei sys4]]//+  * //[[https://sys4.de/blog/mta-sts|MTA-STS bei sys4]]//
  
 Ab hier werden zur Ausführung nachfolgender Befehle **''root''**-Rechte benötigt. Um der Benutzer ''root'' zu werden, melden Sie sich bitte als ''root''-Benutzer am System an, oder wechseln mit nachfolgendem Befehl zum Benutzer ''root'': Ab hier werden zur Ausführung nachfolgender Befehle **''root''**-Rechte benötigt. Um der Benutzer ''root'' zu werden, melden Sie sich bitte als ''root''-Benutzer am System an, oder wechseln mit nachfolgendem Befehl zum Benutzer ''root'':
Zeile 27: Zeile 27:
 ===== Konfiguration: MTA-STS Web-Seite ===== ===== Konfiguration: MTA-STS Web-Seite =====
  
-Nachfolgend soll die Konfiguration eines [[http://httpd.apache.org/|Apache HTTP Servers]] durchgeführt werden, um die **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite mit der Policy zur anzeige zu bringen.+Nachfolgend soll die Konfiguration eines [[http://httpd.apache.org/|Apache HTTP Servers]] durchgeführt werden, um die **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite mit der Policy zur Anzeige zu bringen.
  
 ==== Voraussetzungen ==== ==== Voraussetzungen ====
Zeile 44: Zeile 44:
 ==== /var/www/mta-sts/mta-sts.txt ==== ==== /var/www/mta-sts/mta-sts.txt ====
  
-Anschließend kann mit nachfolgendem Befehl die **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite / Policy **direkt** in dem neu erstellte Verzeichnis, in einer einfachen Datei, mit nachfolgendem Namen+Anschließend kann mit nachfolgendem Befehl die **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite / Policy **direkt** in dem neu erstellten Verzeichnis, in einer einfachen Datei, mit nachfolgendem Namen
   * **''/var/www/mta-sts/mta-sts.txt''**   * **''/var/www/mta-sts/mta-sts.txt''**
 **erstellt** werden: **erstellt** werden:
Zeile 54: Zeile 54:
 mx: mx1.nausch.org mx: mx1.nausch.org
 mx: *.nausch.org mx: *.nausch.org
-max_age: 604800+max_age: 10368000
 </code> </code>
  
Zeile 63: Zeile 63:
 ^ Policy-Schlüssel ^ Policy-Wert ^   ^ Policy-Schlüssel ^ Policy-Wert ^  
 | **''version''**  | In der aktuellen Fassung unterstützt **MTA-STS** **__nur__** **Version 1**, was durch die Zeichenfolge **''STSv1''** ausgedrückt wird. | | **''version''**  | In der aktuellen Fassung unterstützt **MTA-STS** **__nur__** **Version 1**, was durch die Zeichenfolge **''STSv1''** ausgedrückt wird. |
-| **''mode''**     | In diesem Feld wird die Richtlinien veröffentlicht. Möglich Werte sind "enforce", "testing" oder "none". |+| **''mode''**     | In diesem Feld wird die Richtlinie veröffentlicht. Möglich Werte sind "enforce", "testing" oder "none". |
 | **''mx''**       | Diese **Felder können __öfter vorkommen__** und beschreiben die E-Mail-Server, die für die Domäne E-Mails annehmen dürfen. (**Auch ggf. Backup-E-Mail-Server angeben!**)| | **''mx''**       | Diese **Felder können __öfter vorkommen__** und beschreiben die E-Mail-Server, die für die Domäne E-Mails annehmen dürfen. (**Auch ggf. Backup-E-Mail-Server angeben!**)|
-| **''max_age''**  | Mit diesem Feld wird angegegben, wie lange die Policy gilt. Absender können die Richtline cachen, so dass die **MTA-STS** Policy nicht bei jedem Zustellversuch angefragt werden muss. |+| **''max_age''**  | Mit diesem Feld wird angegeben, wie lange die Policy gilt. Absender können die Richtline cachen, so dass die **MTA-STS** Policy nicht bei jedem Zustellversuch angefragt werden muss. |
  
 Die Adresse für die Veröffentlichung der Policy ist auch im RFC vorgegeben. Deshalb bekommt ein Absender unter **MTA-STS** die entsprechende Richtlinie: Die Adresse für die Veröffentlichung der Policy ist auch im RFC vorgegeben. Deshalb bekommt ein Absender unter **MTA-STS** die entsprechende Richtlinie:
Zeile 76: Zeile 76:
 drwxr-xr-x. 14 root root 4096 Mar 12 08:02 .. drwxr-xr-x. 14 root root 4096 Mar 12 08:02 ..
 -rw-r--r--   1 root root  121 Mar 12 08:02 mta-sts.txt -rw-r--r--   1 root root  121 Mar 12 08:02 mta-sts.txt
-</code> 
- 
-==== /var/www/mta-sts/index.htm ==== 
- 
-Abschließend soll noch ein **symbolischer Link** wie folgt gesetzt werden, damit der Aufruf der **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite / Policy ''/var/www/mta-sts/mta-sts.txt'' via ''/var/www/mta-sts/index.htm'' erfolgen kann. Dies ist nicht unbedingt notwendig, aber schöner und ggf. auch bei Standard Webserver-Konfigurationen besser anzuwenden: 
-<code> 
-# ln -s /var/www/mta-sts/mta-sts.txt /var/www/mta-sts/index.htm 
-</code> 
- 
-Abschließend zeigt nachfolgender Befehl nun den aktuellen Inhalt des Verzeichnisses ''/var/www/mta-sts'': 
-<code> 
-# ls -la /var/www/mta-sts 
 </code> </code>
  
Zeile 123: Zeile 111:
         </Directory>         </Directory>
  
-        DirectoryIndex index.htm+        Alias /.well-known/mta-sts.txt /var/www/mta-sts/mta-sts.txt 
 + 
 +        DirectoryIndex mta-sts.txt
  
         ErrorLog logs/mta-sts_error.log         ErrorLog logs/mta-sts_error.log
Zeile 132: Zeile 122:
 </code> </code>
  
-:!: **HINWEIS** - Zu beachten sind hier, die Zeilen mit dem Inhalten +:!: **HINWEIS** - Zu beachten sind hier, die Zeilen mit den Inhalten 
-  * **''DirectoryIndex index.htm''** - da hier die erste Seite der Anwendung ein HTML-Aufruf ist!+  * **''Alias /.well-known/mta-sts.txt /var/www/mta-sts/mta-sts.txt''** - Verweis auf die **Text-Datei**! 
 +  * **''DirectoryIndex mta-sts.txt''** - da hier die erste Seite der Anwendung eine **Text-Datei** ist!
  
 Nach Durchführung der vorhergehenden **Konfigurationsschritte**, sollte einem **Neustart** nichts im Wege stehen und die **Apache VHOST-Konfiguration** angezogen werden: Nach Durchführung der vorhergehenden **Konfigurationsschritte**, sollte einem **Neustart** nichts im Wege stehen und die **Apache VHOST-Konfiguration** angezogen werden:
Zeile 144: Zeile 135:
 ==== Aufruf MTA-STS Web-Seite ==== ==== Aufruf MTA-STS Web-Seite ====
  
-:!FIXME+Der direkte Aufruf der **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite / Policy kann durch eingabe von nachfolgender URL nun erreicht werden: 
 +  * [[https://mta-sts.tachtler.net/]]
  
 ===== Erstellung DNS-Einträge ===== ===== Erstellung DNS-Einträge =====
  
-:!FIXME+Nachfolgend sind nun **drei** neue DNS-Record-Einträge zu veröffentlichen: 
 +  - **Typ''A''**, für den Abruf der **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite. 
 +  - **Typ: ''TXT''**, für den Einsatz von **MTA-STS** (SMTP MTA Strict Transport Security). 
 +  - **Typ: ''TXT''**, **SMTP-TLSRPT**, zu Bestimmung der SMPT-TLS-Benachrichtigungs E-Mail-Adresse. 
 + 
 +==== DNS-Eintrag: Web-Seite ==== 
 + 
 +Nachfolgend der Aufbau des benötigten DNS-Eintrags für 
 +  * **Typ: ''A''**, für den Abruf der **MTA-STS** (SMTP MTA Strict Transport Security) Web-Seite. 
 +<code dns> 
 +mta-sts.tachtler.net.        IN      A       88.217.171.167 
 +</code> 
 + 
 +==== DNS-Eintrag: MTA-STS ==== 
 + 
 +Nachfolgend der Aufbau des benötigten DNS-Eintrags für 
 +  * **Typ: ''TXT''**, für den Einsatz von **MTA-STS** (SMTP MTA Strict Transport Security). 
 +<code dns> 
 +_mta-sts.tachtler.net.       IN      TXT     "v=STSv1; id=20190312010001;" 
 +</code> 
 + 
 +==== DNS-Eintrag: SMTP-TLSRPT ==== 
 + 
 +Nachfolgend der Aufbau des benötigten DNS-Eintrags für 
 +  * **Typ: ''TXT''**, **SMTP-TLSRPT**, zu Bestimmung der SMPT-TLS-Benachrichtigungs E-Mail-Adresse. 
 +<code dns> 
 +_smtp._tls.tachtler.net.     IN      TXT     "v=TLSRPTv1; rua=mailto:mta-sts@tachtler.net" 
 +</code>
  
 ===== Test Werkzeuge ===== ===== Test Werkzeuge =====
  
 Nachfolgende externe Links führen zu verschiedenen Test Werkzeugen: Nachfolgende externe Links führen zu verschiedenen Test Werkzeugen:
-  * **[[https://aykevl.nl/apps/mta-sts/|MTA-STS validator]]**+  * **[[https://www.mailhardener.com/tools/mta-sts-validator|MTA-STS validator]]**
   * **[[https://www.hardenize.com/|Hardenize]]**   * **[[https://www.hardenize.com/|Hardenize]]**
  
tachtler/postfix_centos_7_-_mta-sts_einsetzen.1552374228.txt.gz · Zuletzt geändert: 2019/03/12 08:03 von klaus