Könnt ihr bitte starttls-everywhere (ist so etwas wie die hsts-preload Liste) aktivieren?
Dazu hier auf der Webseite das Aufnahmeformular ausfüllen: https://starttls-everywhere.org/results/?fragdenstaat.de
Und bitte noch MTA-STS aktivieren. Natürlich im Modus “mode: enforce”
https://aykevl.nl/apps/mta-sts/
Danke
In der Zwischenzeit eine Idee für eine Anfrage: Findet man mit IFG-Anfragen eine Behörde, die bei ihren ausgehenden E-Mails MTA-STS validiert?
Ich vermute, dass Behörden wenn überhaupt Opportunistic DANE (RFC 7672) benutzen, um STARTTLS-Downgrade-Attacken zu verhindern. Zumindest entspricht das der durch die Technische Richtlinie 03108 des Bundesamtes für Sicherheit in der Informationstechnik empfohlenen Vorgehensweise.
Ich halte MTA-STS für eine extrem sinnvolle Erweiterung für SMTP. Sind diejenigen, die E-Mails an mich verschicken, hauptsächlich Behörden, ist mit DANE wahrscheinlich mehr erreicht.
Aber auch hier: Warum nicht IFG-Anfragen stellen um herauszufinden wie verbreitet MTA-STS und DANE in ausgehender Richtung bei den großen behördlichen Mailsystemen sind?
MTA-STS ist jetzt aktiviert. Gleich auch noch ein paar andere SMTP TLS Parameter angepasst.
Wir haben ja eine ganz gute Behörden-Datenbank mit E-Mail-Adressen, darüber kann man natürlich einfach einen MTA-STS-Scan machen, ganz ohne IFG-Anfragen.