wie kann ich senden an eine domain (yahoo.com) unterbinden?

[Stefan Förster]

Hallo Daniel,

* Daniel <daniel at mail24.vip>:
>Welcher DNS soll den kein DNSsec unterstützen?

"unterstützen" werden das die meisten, ob es dann auch konfiguriert ist, 
ist eine andere Sache :-) Zumindest wäre es sinnvoll gewesen darauf 
hinzuweisen, dass diese Konfiguration einen DNSSEC-fähigen Resolver 
voraussetzt (und noch dazu einen, dessen Antworten auf dem Transportweg 
nicht verfälschbar sind, oder wo Du dem Transportweg traust).

>Was soll bitte zuviel an "Crypto" sein? In aktuellen Zeiten wird doch 
>eher ohne TLS abgewiesen. Kann man zumindest bei Posteo erzwingen dass 
>Server ohne TLS keine Mails bekommen wie z.B. die von Spamcop falls man 
>dort die DNSBL füttern möchte mit Emails.

Wenn ein MTA ein STARTTLS sieht, aber keinen Handshake hinbekommt, dann 
wird er die Mail unverschlüsselt nochmal senden - das ist zumindest fast 
überall die Default-Konfiguration, u.a. auch bei Postfix. Im Gegensatz 
zu HTTP - wo Du dann die Seite nicht zu sehen kriegst - riskierst Du bei 
Mailservern also ein Downgrade auf eine unverschlüsselte Verbindung, 
wenn man Cipher erzwingt, die die Gegenstelle nicht kann. Dies ist 
völlig unnötig, denn Transportwegverschlüsselung ist eh kein Ersatz für 
Dinge wie S/MIME oder GPG. Auf einem MSA macht es vielleicht Sinn, 
moderne und starke Cipher zu erzwwingen, weil man dann einfach die 
Annahme verweigern kann, wenn kein Handshake zu Stande kommt. Auf 
öffentlichen MXen macht das keinen Sinn.

>Von was möchtest da also von abraten oder anders machen?

Ich würde alle Einstellunge bzgl. TLS löschen, mit Ausnahme von 
smtp(d)?_tls_ciphers - villeicht. Einen echten Sicherheitsgewinn gibt es 
dadurch nicht, und wird es bis zur flächendeckenden Verbreitung von DANE 
TLSA auch nicht geben (bei letzterem kann man dann ablehnen, wenn der 
Handshake fehlschlägt).


VG,
Stefan