gunnarh
Allwissende Müllhalde
Ich habe die letzen Wochenenden damit verbracht, mich dem Thema Sicherer E-Mail-Dienste-Anbieter (gemäß Technischen Richtlinie TR-03108 des BSI) basierend auf TLS, abgesichert mittels DNSSec und DANE zu beschäftigen.
DANE = DNS-based Authentication of Named Entities
DNSSec = Domain Name System Security Extension
Daraus entstanden ist eine Demo-Konfiguration und eine begleitende Dokumentation im Stil eines "praktischen How-To" mit Erläuterungen.
Die Umsetzung erfolgt mittels Debian 8 "Jessie" unter Verwendung des DNS-Servers BIND, des Mailservers Postfix, des WebServers Apache mit WebMailer RoundCube. Die IMAP und POP3 Dienste werden mittels Dovecot realisiert.
Kryptographische Grundlagen werden hierbei vorausgesetzt, spezifische Funktionalitäten jedoch stets zuvor erläutert und anschließend implementiert, die Implementierung nachvollziehbar dokumentiert und ausführlich getestet. Dabei wurde auf sichere Konfiguration der verwendeten TLS-Protokolle und CipherSuites sowie auf zeitgemäße Verwendung und Konfiguration von DNSSec, DANE, Certificate-Pinning, Public-Key-Pinning, HTTP-Strict-Transport-Security u.v.m. geachtet.
Das Dokument befindet sich noch in Arbeit.
Status: Work in progress, DRAFT!
hier herunterzuladen:
https://it-sec.ovh/secure-mail
Feedback ist gerne willkommen.
DANE = DNS-based Authentication of Named Entities
DNSSec = Domain Name System Security Extension
Daraus entstanden ist eine Demo-Konfiguration und eine begleitende Dokumentation im Stil eines "praktischen How-To" mit Erläuterungen.
Die Umsetzung erfolgt mittels Debian 8 "Jessie" unter Verwendung des DNS-Servers BIND, des Mailservers Postfix, des WebServers Apache mit WebMailer RoundCube. Die IMAP und POP3 Dienste werden mittels Dovecot realisiert.
Kryptographische Grundlagen werden hierbei vorausgesetzt, spezifische Funktionalitäten jedoch stets zuvor erläutert und anschließend implementiert, die Implementierung nachvollziehbar dokumentiert und ausführlich getestet. Dabei wurde auf sichere Konfiguration der verwendeten TLS-Protokolle und CipherSuites sowie auf zeitgemäße Verwendung und Konfiguration von DNSSec, DANE, Certificate-Pinning, Public-Key-Pinning, HTTP-Strict-Transport-Security u.v.m. geachtet.
Das Dokument befindet sich noch in Arbeit.
Status: Work in progress, DRAFT!
hier herunterzuladen:
https://it-sec.ovh/secure-mail
Feedback ist gerne willkommen.
