MTA-STS: The receiver's certificate did not match the hostname [GELÖST]

[joka]

Hallo

Ich habe mir für meine Domain js-kaut.de MTA-STS eingerichtet. Das sieht nach Prüfung so weit auch gut aus: https://mxtoolbox.com/SuperTool.aspx?ac ... n=toolpage
Ich bekomme jetzt nur die ersten SMTP TLS Reportings rein und das sieht komisch aus. Der Fehler lautet:
The receiver's certificate did not match the hostname – certificate-host-mismatch
und im Detail taucht 16 mal der gleiche Fehler auf mit 16 verschiedenen Sender-IPs von Google. Es sieht immer gleich aus:

During the report period, Google Inc. reported that:

• The enforce policy was used, so MTA-STS capable senders will not deliver email over an insecure connection.

• 16 emails were not delivered to js-kaut.de because there were TLS related failures and the MTA-STS policy was set to enforce.

Kann ich MTA-STS überhaupt konfigurieren, wenn ich nur Let'sEncrypt-Zertifikate verwende, die ja nicht zu js-kaut.de, sondern zu einer Keymachine-URL gehören? Ich hab schon einiges zu MTA-STS recherchiert, doch niemand beschreibt, dies genauer. Könnt Ihr mir hier einen Rat geben?

Viele Grüße
Jo

[tab-kh]

Man kann ja als MX den Servernamen angeben. Mache ich sowieso immer. Das stört offenbar niemanden, weder Google noch Microsoft. So what?

[joka]

Man kann ja als MX den Servernamen angeben. Mache ich sowieso immer. Das stört offenbar niemanden, weder Google noch Microsoft. So what?

Also einfach in der mta-sts.txt einen zweiten MX-Eintrag, auch wenn der im DNS so nicht drin steht?

[tab-kh]

Nein, der muss natürlich auch im DNS stehen. Was hast du denn da als MX eingetragen?

[Ralph]

Wenn ein MX eh nur über TLS arbeitet, macht ein zusätzlicher MTA-STS Record die Welt auch nicht besser





[Mod-Edit]
Kampfausdruck entfernt.

[joka]

Nein, der muss natürlich auch im DNS stehen. Was hast du denn da als MX eingetragen?

@ 86400 MX 10 mail
Wie fügt man den Servernamen zusätzlich ein?

[Florian]

Hallo,

du hast kein Zertifikat für mail.js-kaut.de im Mailserver.

Leg die Domain im Keyhelp an ( als E-Mail-Domain) und aktiviere Let's Encrpyt

[joka]

Hallo,

du hast kein Zertifikat für mail.js-kaut.de im Mailserver.

Leg die Domain im Keyhelp an ( als E-Mail-Domain) und aktiviere Let's Encrpyt

Danke für den Tipp, Florian. Etwas eine Stunde nach der Aktivierung des Zertifikats für die Subdomain erhielt ich eine Test-E-Mail, die ich vor 2 Tagen von einem Googlekonto abgesendet hatte. Es scheint sich also was bewegt zu haben. Ich warte noch auf den abschließenden Bericht, der in einem Tag eintreffen sollte. Dann melde ich mich wieder.

[joka]

Einen Teil des Tages hat die Umstellung wohl bereits gewirkt. Der Bericht von Google ist zu Teilen bereits positiv:
Results
During the report period, Google Inc. reported that:

• The enforce policy was used, so MTA-STS capable senders will not deliver email over an insecure connection.

• 6 emails were successfully delivered to js-kaut.de.

• 12 emails were not delivered to js-kaut.de because there were TLS related failures and the MTA-STS policy was set to enforce.

[Florian]

Naja ist doch OK. Es ist ja Ziel vom MTA-STS, dass nur verschlüsselt zwischen Mailservern kommuniziert werden darf., und bei 12 hat das offenbar nicht geklappt

[joka]

Läuft. Das ist der Status vom Report des vergangenen Dienstags:

Results
During the report period, Google Inc. reported that:

The enforce policy was used, so MTA-STS capable senders will not deliver email over an insecure connection.
2 emails were successfully delivered to js-kaut.de.
No TLS related delivery failures were encountered while delivering email to js-kaut.de.

[joka]

Wieso schickt eigentlich immer Google Inc. die Berichte? E-Mails erhalte ich doch von den unterschiedlichsten E-Mail-Domänen.

[joka]

Wieso schickt eigentlich immer Google Inc. die Berichte? E-Mails erhalte ich doch von den unterschiedlichsten E-Mail-Domänen.

Inzwischen habe ich auch von einigen anderen Empfänger-Servern DMARC-Reports erhalten.