In der Zwischenzeit eine Idee für eine Anfrage: Findet man mit IFG-Anfragen eine Behörde, die bei ihren ausgehenden E-Mails MTA-STS validiert?
Ich vermute, dass Behörden wenn überhaupt Opportunistic DANE (RFC 7672) benutzen, um STARTTLS-Downgrade-Attacken zu verhindern. Zumindest entspricht das der durch die Technische Richtlinie 03108 des Bundesamtes für Sicherheit in der Informationstechnik empfohlenen Vorgehensweise.
Ich halte MTA-STS für eine extrem sinnvolle Erweiterung für SMTP. Sind diejenigen, die E-Mails an mich verschicken, hauptsächlich Behörden, ist mit DANE wahrscheinlich mehr erreicht.
Aber auch hier: Warum nicht IFG-Anfragen stellen um herauszufinden wie verbreitet MTA-STS und DANE in ausgehender Richtung bei den großen behördlichen Mailsystemen sind?
Wir haben ja eine ganz gute Behörden-Datenbank mit E-Mail-Adressen, darüber kann man natürlich einfach einen MTA-STS-Scan machen, ganz ohne IFG-Anfragen.