de:dane

DANE/TLSA

DNS-based Authentication of Named Entities (DANE) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern (siehe Wikipedia-Eintrag). Vereinfacht gesagt wird hierzu im DNS eine Prüfsumme des SSL-Zertifikats hinterlegt, mit dem die Verbindung zu einem Dienst (E-Mail, Website) abgesichert ist. Da DNSSEC eine Voraussetzung für DANE ist, kann somit ausgeschlossen werden, dass beispielsweise ein SSL-Zertifikat von einem kompromittierten Aussteller „untergeschoben“ wird.

DANE/TLSA ermöglicht insbesondere eine zuverlässig geschützte Kommunikation zwischen Mailservern. Anders als beim praktisch geschlossenen System „E-Mail made in Germany“ ist DANE ein offenes und standardisiertes Protokoll (RFC6698).

Ab Version 1.9.0 unterstützt LiveConfig den Einsatz von DANE:

  • Anlegen von TLSA-Records
  • Aktivierung von DANE für den SMTP-Server (Postfix)

DANE/TLSA für ausgehende E-Mails

Um DANE für den Versand von E-Mails zu nutzen, muss Ihr Server Postfix mindestens in der Version 2.11 bereitstellen (z.B. ab Debian 8). Außerdem müssen Sie ausschließlich DNSSEC-fähige DNS-Resolver verwenden (Datei /etc/resolv.conf). Für Tests können Sie etwa den Google-Resolver unter der IP 8.8.8.8 nutzen - ansonsten fragen Sie bei Ihrem Provider nach, ob bzw. unter welchen IPs dieser DNSSEC-Resolver bereitstellt. Aktivieren Sie dann unter SerververwaltungMail die Option DANE/TLSA. Das war's schon.

DANE/TLSA für eingehende E-Mails

Um DANE/TLSA für eingehende E-Mails zu nutzen, müssen alle betroffenen Domains mit DNSSEC signiert sein sowie die Domain mit dem Hostnamen des MX-Records. Wenn Sie etwa DANE/TLSA für die Domain beispiel.test aktivieren wollen, und diese als MX den Host mail.example.org enthält, dann muss DNSSEC sowohl für beispiel.test als auch für example.org eingerichtet sein.

Außerdem müssen Sie einen TLSA-Resource-Record für den MX anlegen. Im eben genannten Beispiel wäre das also ein TLSA-Record für den Hostnamen _25._tcp.mail.example.org. Den notwendigen Hash-Wert können Sie sich über unseren SSL-Check anzeigen lassen. Wir empfehlen, den Hashwert über den Public Key zu verwenden - der TLSA-Selektor lautet dann 3 1 1.

Beispiel

Für die Domain liveconfig.com ist TLSA aktiviert - sowohl für den Mailserver (MX ist der Server mail.keppler-it.de) als auch für HTTPS. Die notwendigen Schritte dafür waren also:

  • DNSSEC für die Domain liveconfig.com aktivieren
  • DNSSEC für die Domain keppler-it.de aktivieren (da diese den MX-Record beherbergt)
  • für SMTP den TLSA-Record _25._tcp.mail.keppler-it.de anlegen (mit dem Hash des SSL-Zertifikats vom Mailserver)
  • für HTTPS die TLSA-Record _443._tcp.liveconfig.com sowie _443._tcp.www.liveconfig.com anlegen (mit dem Hash des SSL-Zertifikats von (www.)liveconfig.com)
de/dane.txt · Zuletzt geändert: 2015/07/21 12:03 von wikiadmin

Benutzer-Werkzeuge