Mail Server Mit Dane

Milchbroetchen

Milchbroetchen

Hello :-)
Hallo,
hat schon jemand von euch ein Mail System mit DANE und TLSA am laufen?? Wenn ja hat da evtl. jemand ein paar tipps für mich zum einrichten?
 
Läuft dnssec schon, wenn nein sind das die Vorarbeiten. Was für Tips willst du genau, bin auch an dem Thema dran.
 
Nun ja ohne dnssec kannst du zwar tlsa eintragen, jedoch wird das ohne dnssec nicht genutzt, ist ja nicht verlässlich.
Zumindest sollte dein NS dnssec können, dann kannst du zumindest andere DANE Mailserver vom postfix prüfen lassen.
 
DANE ausgehend im Postfix nutzen
Wenn du z.B. in deinem ausgehenden Postfix die Zertifikate von anderen per DANE überprüfen willst, dann musst du auf deinem Server einen DNSSEC-fähigen DNS-Resolver nutzen. Beispielsweise bind >= 9.9.0 oder ein aktueller Unbound. Dann brauchst du Postfix in Version >= 2.11.0, damit du DANE Support hast. In der main.cf änderst du bzw. fügst du dann noch folgende Zeilen hinzu und startest Postfix einmal neu:

smtp_dns_support_level = dnssec
smtp_tls_security_level = dane
smtp_tls_loglevel = 1

Wenn du dann eine E-Mail sendest an einen E-Mail-Server der DANE unterstützt (mail.de, posteo, bund.de) siehst du in deinem mail.log statt vorher "Untrusted TLS connection" bzw. "Trusted TLS connection" nun "Verified TLS connection".

DANE bei den eigenen Diensten einsetzen
Möchtest du selbst für deine Domain DANE anbieten ist das deutlich mehr Aufwand. Erstens muss dein Domainhoster DNSSEC unterstützen, das kann bisher kaum einer (es gibt aber durchaus ein Dutzend, vor allem nicht-deutsche kostenpflichtige, die das können). Dort also DNSSEC aktivieren, damit alle deine DNS-Antworten signiert werden. Falls du keinen Domainhoster hast der DNSSEC beherrscht kannst du natürlich auch deine eigenen DNS-Server betreiben. Noch ein wichtiger Haken: Deine TLD muss DNSSEC-signiert sein. Für die meisten ist das der Fall, aber für einige eben noch nicht. Siehe Liste hier:
http://stats.research.icann.org/dns/tld_report/
z.B. .jobs oder .travel bieten das noch nicht.

Wenn du DNSSEC-Unterstützung hast musst du dann nur noch einen TLSA-Record für dein Zertifikat generieren. Das geht beispielsweise mit dem Tool "swede" ganz gut:
https://github.com/pieterlexis/swede
$ ./swede create --output rfc --usage 3 -s 1 -m 1 -c domain.de.crt domain.de
_443._tcp.domain.de. IN TLSA 3 1 1 0eb2dc1876fc014fde69a634a9c60f92844ce79fc7af65c91c6a1b34e2faa335

Alternativ ist auch noch der Modus 3 0 1 zu nutzen, je nachdem was man möchte. Dazu liest man sich in die TLSA/DANE Spezifikation ein und entscheides was von beidem besser ist.
Diesen Record erstellst du dann auf deinem DNS-Server und dann können andere deinen TLSA-Record überprüfen.
Das selbe machst du dann für deine MX Server und andere Dienste wie Jabber usw, z.B:
_25._tcp.mx01.domain.de. IN TLSA 3 1 1 0eb2dc1876fc014fde69a634a9c60f92844ce79fc7af65c91c6a1b34e2faa335

Fazit
Der obere Teil ist relativ einfach zu machen, da ist nur aktuelle Software von Nöten. Der untere Teil ist zugegebenermaßen recht komplex und umfangreich, deshalb macht das auch nicht jeder. Sobald DNSSEC Standard ist braucht man nur noch die TLSA-Records, das ist machbar für jedermann der einen Server betreibt. Bei DNSSEC ist man auch etwas auf Hilfe von anderen (Domainregistrar) angewiesen.
 
You must log in or register to reply here.
Back
Top