[Public] DANE

Ralf Jung post at ralfj.de
Sa Aug 9 21:17:55 CEST 2014


Hallo allerseits,

ich habe den Mailserver gerade zur Nutzung von DANE konfiguriert. DANE
ist eine Technik, die das Potential hat, die Sicherheit im Netz enorm zu
stärken - und das kaputte CA-System abzulösen.

Für unsere Mails bedeutet das, wenn eine Mail an eine Domain verschickt
wird, die DANE für Mails aktiviert hat (das sind leider noch wenige,
z.B. Posteo und bund.de), dann wird beim Zustellen dieser Mail
Verschlüsselung erzwungen. Es ist einem Angreifer also nicht mehr
möglich, nur simples entfernen des "ich kann SSL"-Flags die Mail
unverschlüsselt zu sehen. Außerdem ermittelt hacksaar.de via DANE auch
den Fingerabdruck des Zertifikats, das der Zielserver präsentieren soll,
und bricht die Zustellung ab, wenn das nicht passt - so verhindert man
Man-in-the-Middle ganz ohne CAs.
Das ganze setzt ein authentisches DNS voraus, weshalb hacksaar.de
DNS-Auflösung nun via DNSSEC validiert.

Der nächste Schritt wäre natürlich, für unsere eigene Domain DANE
anzubieten. Dafür müssen wir die Domain DNSSEC-absichern. Ich will da
vorher mit meiner Domain Erfahrung sammeln, und wenn das so weit ist,
müssten wir mit unserem Registrar reden - der muss unseren DNSSEC-Key an
die DeNIC weiterleiten, damit das klappt. Wenn wir das auch hinkriegen,
haben wir z.B. zwischen ralfj.de und hacksaar.de in beide Richtung
verschlüsselte Mailzustellung mit Sicherheit gegen aktive Angreifer. So
wie dieses ach so tolle "E-Mail Made in Germany", nur mit offenen
Standards und hoffentlich bald viel mehr Teilnehmern :)
Falls ihr da Fragen habt, oder euren eigenen Mailserver entsprechend
aufpeppen wollt, wendet euch gerne an mich.

Viele Grüße,
Ralf


Mehr Informationen über die Mailingliste Public