Verwendung von DANE/TLSA

Kategorie: DNS E-Mail
Erstellt: 21.07.2015
Aktualisiert: 14.09.2022

DNS-based Authentication of Named Entities (DANE) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern (siehe Wikipedia-Eintrag). Vereinfacht gesagt wird hierzu im DNS eine Prüfsumme des TLS-Zertifikats hinterlegt, mit dem die Verbindung zu einem Dienst (E-Mail, Website) abgesichert ist. Da DNSSEC eine Voraussetzung für DANE ist, kann ausgeschlossen werden, dass beispielsweise ein TLS-Zertifikat von einem kompromittierten Aussteller “untergeschoben” wird.

DANE/TLSA ermöglicht insbesondere eine zuverlässig geschützte Kommunikation zwischen Mailservern. Anders als beim praktisch geschlossenen System “E-Mail made in Germany” ist DANE ein offenes und standardisiertes Protokoll (RFC6698).

Ab Version 1.9.0 unterstützt LiveConfig den Einsatz von DANE:

  • Anlegen von TLSA-Records
  • Aktivierung von DANE für den SMTP-Server (Postfix)

DANE/TLSA für ausgehende E-Mails

Um DANE für den Versand von E-Mails zu nutzen, muss Ihr Server Postfix mindestens in der Version 2.11 bereitstellen (z.B. ab Debian 8). Außerdem müssen Sie ausschließlich DNSSEC-fähige DNS-Resolver verwenden (Datei /etc/resolv.conf). Für Tests können Sie etwa den Google-Resolver unter der IP 8.8.8.8 nutzen - ansonsten fragen Sie bei Ihrem Provider nach, ob bzw. unter welchen IPs dieser DNSSEC-Resolver bereitstellt. Aktivieren Sie dann unter SerververwaltungMail die Option DANE/TLSA. Das war’s schon.

DANE/TLSA für eingehende E-Mails

Um DANE/TLSA für eingehende E-Mails zu nutzen, müssen alle betroffenen Domains mit DNSSEC signiert sein sowie die Domain mit dem Hostnamen des MX-Records. Wenn Sie etwa DANE/TLSA für die Domain beispiel.test aktivieren wollen und diese als MX den Host mail.example.org enthält, dann muss DNSSEC sowohl für beispiel.test als auch für example.org aktiv sein.

Außerdem müssen Sie einen TLSA-Resource-Record für den MX anlegen. Im eben genannten Beispiel wäre das also ein TLSA-Record für den Hostnamen _25._tcp.mail.example.org. Den notwendigen Hash-Wert können Sie sich über unseren SSL-Check anzeigen lassen. Wir empfehlen, den Hashwert über den Public Key zu verwenden - der TLSA-Selektor lautet dann 3 1 1.

Beispiel

Für die Domain liveconfig.com soll TLSA aktiviert werden. Als Mailserver (MX) wird mail.keppler-it.de verwendet. Die notwendigen Schritte sind somit:

  • DNSSEC für die Domain liveconfig.com aktivieren
  • DNSSEC für die Domain keppler-it.de aktivieren (da diese den MX-Record beherbergt)
  • für SMTP den TLSA-Record _25._tcp.mail.keppler-it.de anlegen (mit dem Hash des TLS-Zertifikats vom Mailserver)