Wie Sie Ihre E-Mail-Domains verschlüsselt mit MTA-STS zugänglich machen können, ist ganz einfach. Dazu muss ein Webservice eine Datei unter Ihrer Domain bereitstellen. Dies ist in wenigen Schritten implementiert. Alles, was Sie brauchen, ist eine Azure Subscription und eine darin enthaltene Ressource Group.

Günstiges und einfaches MTA-STS Webhosting in Azure

In unserem aktuellen MTA-STS GKGAB Mechanics erfahren Sie, wie Sie Ihre E-Mail-Domains verschlüsselt mit MTA-STS zugänglich machen können. Dazu muss ein Webservice eine Datei unter Ihrer Domain https://IhreDomain/.well-known/mta-sts.txt bereitstellen. Das ist ein gutes Beispiel dafür, wie man so etwas heute mit wenigen Schritten implementieren kann. Wir betreiben MTA-STS für rund 20 verschiedene E-Mail-Domains und die Kosten belaufen sich auf einen Cent pro Monat, da nur für Speicherplatz und Übertragung bezahlt werden muss! Sie benötigen lediglich eine Azure Subscription und eine darin enthaltene Ressource Group.

In der Subscription muss der Resource Provider "Microsoft.Cdn" registriert werden, indem Sie ihn auswählen und auf "Register" klicken.
Resource Provider
Sie können ein bestehendes Storage Account verwenden oder ein neues anlegen. Name, Region, Redundancy (LRS reicht in der Regel aus), ansonsten gelten die Standardeinstellungen.
Storage Account
Öffnen Sie das Storage Account und erstellen Sie einen Container mit dem Namen "well-known" und dem Public Access Level "Container". Hier werden niemals sensible Daten gespeichert, sondern nur die öffentliche mta-sts.txt.
New Container
Erstellen Sie die Datei "mta-sts.txt" auf Ihrem Rechner (hier im Beispiel für MX-Eintrag von Exchange Online Protection)
version: STSv1
mode: testing
mx: *.mail.protection.outlook.com
max_age: 2419200
Dann uploaden Sie die Datei in den neuen Ordner "well-known".
Upload Blob
Im Storage Account wählen Sie nun "Azure CDN" und legen einen neuen Endpoint an:
Name: z.B. gkalderaancdnmtasts, Pricing tier: Microsoft CDN (classic), CDN endpoint name: z.B. gkalderaanepmtasts
Anschließend klicken Sie auf "Create".
Azure Content Delivery Network

Kopieren Sie den Namen des CDN Endpoints (gkalderaanepmtasts.azureedge.net) für später. Da das Erstellen eines Containers mit dem Namen ".well-known" nicht zulässig ist, benötigen wir jetzt eine Rewrite-Regel.

Öffnen Sie den neuen Endpoint, wählen "Rules engine > Add action > URL Rewrite".
Source pattern: /.well-known/, Destination: /well-known/
Bestätigen Sie Ihre Eingabe mit "Save"
URL Rewrite

Jetzt können Sie die Datei bereits unter dem Namen des CDN Endpoints zum Testen erreichen: https://gkalderaanepmtasts.azureedge.net/.well-known/mta-sts.txt. Allerdings benötigen wir auch noch die Erreichbarkeit unter dem Namen jeder E-Mail-Domain, die mit MTA-STS geschützt werden soll. Der DNS CNAME im öffentlichen DNS lautet: mta-sts.IhreDomain CNAME [CDN endpoint name] (z.B. gkalderaanepmtasts.azureedge.net)
Dieser Name ist von Anbieter zu Anbieter unterschiedlich, bei einigen müssen sie darauf achten, einen “.” am Ende hinzuzufügen.

CNAME    mta-sts.gkalderaan.de    gkalderaanepmtasts.azureedge.net    300
Als Nächstes fügen wir mta-sts.IhreDomain (mta-sts.gkalderaan.com) für alle diese Domains im CDN Endpoint unter "Custom Domains" hinzu. Nachdem die Domain erscheint, öffnen wir sie und aktivieren HTTPS.
Customs Domains
Hier erhalten Sie von Microsoft ein kostenloses und fully-managed SSL Zertifikat. Jetzt ist https://mta-sts.gkalderaan.de/.well-known/mta-sts.txt öffentlich zugänglich. Wiederholen Sie die letzten Schritte für anderen E-Mail-Domains.
CDN Managed Certificate

Wie Sie hier sehen können, ist es dank der Möglichkeiten moderner Cloud-Plattformen sehr einfach, diese Anforderung umzusetzen.

Wir wünschen Ihnen viel Erfolg bei Ihrer eigenen Implementierung.