MTA-STS bei sys4

MTA-STS ist ein Internet Standard (RFC 8461), der hilft den Versand von Mail über fremde Leitungen (Internet) abzusichern. Eine Domäne kann eine Policy für den Einsaz von TLS auf den Mailservern veröffentlichen. Absender können anhand der Policy feststellen, wie sich sich verhalten sollen, wenn der geordnete Aufbau einer TLS Verbindung zu den Mailservern nicht funktioniert.

Die Domäne veröffentlicht unter einem speziellen Funktionsrecord im DNS eine Adresse, unter der Absender die Policy per HTTPS herunterladen können. Bei der Einführung von MTA-STS sind also zwei Schritte wichtig: Festlegen und Veröffentlichung der Policy auf einer Webseite und Verweis auf diese Webseite im DNS.

Fangen wir mit der Policy und der Webseite an.

Änderungen auf der Webseite

In Abschnitt 3.2 beschreibt der RFC 8461 in welcher Form die Policy veröffentlicht wird. Der Domäneninhaber beschreibt die Policy mit einfachen Key/Value Paare in einer Textdatei. Die Schlüssel sind:

version

In der aktuellen Fassung untertützt MTA-STS nur Version 1, das der Admin durch den String "STSv1" ausdrückt.

mode

In diesem Feld veröffentlicht die Richtlinien. Möglich sind "enforce", "testing" oder "none". Die Werte sind selbsterklärend.

mx

Diese Felder können öfter vorkommen und beschreiben die Mailserver, die für die Domäne Mails annehmen dürfen.

max_age

Mit diesem Feld gibt der Administrator vor, wie lange die Policy gilt. Absender können die Richtline cachen, so dass die MTA-STS Policy nicht bei jedem Zustellversuch angefragt werden muss.

Die Adresse für die Veröffentlichung der Policy ist auch im RFC vorgegeben. Deshalb bekommt ein Absender unter MTA-STS unsere Richtline:

version: STSv1
mode: enforce
mx: mail.sys4.de
max_age: 604800

Natürlich ist die Adresse mts-sts.sys4.de selbst auch per TLS abgesichert und hat ein eigenes Zertifikat. Dank der Automatisierung mit salt ist die Erstellung und das Ausrollen des Zertifikats allerdings ganz einfach.

Änderungen im DNS

Der zweite Teil der Einführung von MTA-STS sind die Ändeungen im DNS. In der Zone sys4.de benötigen wir einen A RR, der auf die Adresse des Webservers zeigt:

mta-sts.sys4.de.        IN      A       194.126.158.154

Danach erstellen wir einen zweiten Resource Record vom Typ TXT, der beschreibt, dass wir MTA-STS einsetzen. Die Form des RR ist wieder durch das RFC vorgegeben:

_mta-sts.sys4.de.       IN      TXT     "v=STSv1; id=201801250001;"

Die neuen Informationen der Zone sys4.de müssen nur noch im DNSSEC signiert werden. Mit eingebauten Automatisierung ist das aber auch im Handumdrehen erledigt.

Test der Funktion

Die Webseite MTA-STS validator bietet einen Dienst an, mit der die Funktion von MTA-STS der eigenen Domäne geprüft werden kann. Mit den Änderungen im DNS und der Veröffentlichung der Policy über HTTPS gibt der Validator der Domäne auch grünes Licht.

Michael Schwartzkopff, 25. January 2019