MTA-STS Policy Server #
Status #
Deployment #
Quelle #
Die Anwendung wird als generisches app-template Helm-Chart von BJW-S Labs bereitgestellt. Das verwendete Docker-Image ist ein benutzerdefiniertes Nginx-Image von git.zyria.de.
Dokumentation #
Informationen zum MTA-STS-Standard sind im RFC 8461 zu finden.
Funktion #
MTA-STS (Mail Transfer Agent Strict Transport Security) ist ein Sicherheitsstandard, der es E-Mail-Anbietern ermöglicht, zu deklarieren, dass ihre Mailserver TLS zur Sicherung von SMTP-Verbindungen verwenden. Dieser Dienst stellt die dafür notwendige Richtliniendatei (mta-sts.txt) über HTTPS bereit. Sendende Mailserver rufen diese Datei ab, bevor sie eine E-Mail zustellen, um sicherzustellen, dass die Verbindung verschlüsselt ist und um Man-in-the-Middle-Angriffe zu verhindern.
Lokale Anpassungen #
Die Konfiguration erfolgt über die values.yaml-Datei und eine ConfigMap.
Wichtige Einstellungen #
- Policy-Datei: Der Inhalt der
mta-sts.txt-Datei wird zentral in einer ConfigMap verwaltet und in den Nginx-Pod gemountet. - Ingress: Ein Ingress ist so konfiguriert, dass er Anfragen für
/.well-known/mta-sts.txtauf mehreren Domains (z.B.mta-sts.zyria.de,mta-sts.hx53.de) entgegennimmt und an den Nginx-Server weiterleitet.
Installation #
Die Anwendung wird mittels Kustomize und Helm durch ArgoCD im Kubernetes-Cluster bereitgestellt. Die Konfiguration befindet sich im apps/mta-sts-Verzeichnis. Eine manuelle Installation kann mit folgendem Befehl durchgeführt werden:
1kubectl kustomize --enable-helm apps/mta-sts | kubectl apply -n mta-sts -f -
Abhängigkeiten #
- Ein laufender Kubernetes-Cluster.
- Ein konfigurierter Ingress-Controller (z.B. Traefik).
- Eine Zertifikatsmanagement-Lösung (z.B. cert-manager) zur Bereitstellung von TLS-Zertifikaten.
