DNSSEC und DANE

Windgucker.de unterstützt ab heute DNSSEC und DANE.

Was heißt das?

Viele Mailserver können heute schon beim Versand eine verschlüsselte Verbindung aufbauen. Da es aber immmer noch Mailserver gibt, die keine Verschlüsselung unterstützen, wird eine E-Mail im Zweifel unverschlüsselt übertragen. Das eröffnet Angreifern die Möglichkeit, die Übertragung so zu stören, dass diese unverschlüsselt statt findet und die E-Mail mitgelesen werden kann. Die Verschlüsselung unter Mailservern ist also nicht zwingend notwendig, sodass auch die Echtheit einer verschlüsselten Verbindung in der Regel nicht geprüft wird.

Dem Problem stellen sich DNSSEC mit DANE.

Über das Domain Name System (DNS) können Resourcen aufgelöst werden. So lässt ein Webbrower besipielsweise eine Adresse (Domain) wie windgucker.de zu einer IP-Adresse auflösen um dort nach dem Inhalt dieser Webseite zu fragen. Davon bekommt ein Nutzer nichts mit. Mit DNSSEC kann der anfragende Computer dabei prüfen, ob die erhaltene Antwort auch vom Betreiber der Domain digital unterschrieben wurde. Ob solch eine Antwort echt oder gefälscht ist, kann ein Computer ab heute also auch mit windgucker.de prüfen.

Das eröffnet die Möglichkeit, über diesen vertrauenswürdigen Weg zu sagen, mit welchem Zertifkat ein System (wie ein Mailserver) betrieben wird. Wenn solch ein Eintrag im DNS vorhanden ist bedeutet das zudem, dass die Nutzung einer verschlüsselten Verbindung vom Betreiber erwünscht ist. Ergibt die Prüfung eines Mailservers beim Versand an einen anderen Mailserver, dass dieser einen DANE-Eintrag besitzt, wird eine verschlüsselte Verbindung aufgebaut, die zudem auf ihre Echtheit geprüft wird. Schlägt das fehl, wird die E-Mail nicht zugestellt und der Absender wird darüber informiert.

Der windgucker.de Mailserver prüft schon lange, ob das Gegenüber einen DANE-Eintrag besitzt. Das kann ab heute auch mit ihm selbst gemacht werden.

Ist nun alles verschlüsselt?

Auch wenn beide Mechanismen schon standardisiert sind, unterstützen nicht alle Systeme DNSSEC und noch nicht alle Mailserver nutzen DANE beim Versand. Derzeit zählt man mindestens 1,2 Millionen Domains mit DANE-Einträgen Quelle. Die meisten Betriebssysteme für Anwender prüfen gar nicht, ob die DNS-Antworten per DNSSEC unterschrieben sind.

Ich persönlich bin jedoch der Meinung, dass man die Mittel die uns zur Verfügung stehen nutzen sollte, um die digitale Kommunikation so sicher wie möglich zu machen. Insbesondere, da es noch immer keine massentaugliche Umsetzung zur Ende-zu-Ende Verschlüsselung für E-Mails gibt.

Lesenswert ist dazu der Artikel “Server mit Siegel” auf heise.de.

Kaspar Janßen

Veröffentlicht am 26. Mai 2019