Kategorie: DNS E-Mail
Erstellt: 21.07.2015
Aktualisiert: 14.09.2022
DNS-based Authentication of Named Entities (DANE) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern (siehe Wikipedia-Eintrag). Vereinfacht gesagt wird hierzu im DNS eine Prüfsumme des TLS-Zertifikats hinterlegt, mit dem die Verbindung zu einem Dienst (E-Mail, Website) abgesichert ist. Da DNSSEC eine Voraussetzung für DANE ist, kann ausgeschlossen werden, dass beispielsweise ein TLS-Zertifikat von einem kompromittierten Aussteller “untergeschoben” wird.
DANE/TLSA ermöglicht insbesondere eine zuverlässig geschützte Kommunikation zwischen Mailservern. Anders als beim praktisch geschlossenen System “E-Mail made in Germany” ist DANE ein offenes und standardisiertes Protokoll (RFC6698).
Ab Version 1.9.0 unterstützt LiveConfig den Einsatz von DANE:
Um DANE für den Versand von E-Mails zu nutzen, muss Ihr Server Postfix mindestens in der Version 2.11 bereitstellen (z.B. ab Debian 8). Außerdem müssen Sie ausschließlich DNSSEC-fähige DNS-Resolver verwenden (Datei /etc/resolv.conf
). Für Tests können Sie etwa den Google-Resolver unter der IP 8.8.8.8
nutzen - ansonsten fragen Sie bei Ihrem Provider nach, ob bzw. unter welchen IPs dieser DNSSEC-Resolver bereitstellt. Aktivieren Sie dann unter Serververwaltung → Mail die Option DANE/TLSA. Das war’s schon.
Um DANE/TLSA für eingehende E-Mails zu nutzen, müssen alle betroffenen Domains mit DNSSEC signiert sein sowie die Domain mit dem Hostnamen des MX-Records. Wenn Sie etwa DANE/TLSA für die Domain beispiel.test
aktivieren wollen und diese als MX den Host mail.example.org
enthält, dann muss DNSSEC sowohl für beispiel.test
als auch für example.org
aktiv sein.
Außerdem müssen Sie einen TLSA-Resource-Record für den MX anlegen. Im eben genannten Beispiel wäre das also ein TLSA-Record für den Hostnamen _25._tcp.mail.example.org
. Den notwendigen Hash-Wert können Sie sich über unseren SSL-Check anzeigen lassen. Wir empfehlen, den Hashwert über den Public Key zu verwenden - der TLSA-Selektor lautet dann 3 1 1
.
Für die Domain liveconfig.com
soll TLSA aktiviert werden. Als Mailserver (MX) wird mail.keppler-it.de
verwendet. Die notwendigen Schritte sind somit:
liveconfig.com
aktivierenkeppler-it.de
aktivieren (da diese den MX-Record beherbergt)_25._tcp.mail.keppler-it.de
anlegen (mit dem Hash des TLS-Zertifikats vom Mailserver)