DKIM und DANE

  • Ich ergänze zu der Frage ist die Nutzung von DNSSEC möglich?

    Habe das für die Domain aktiviert (https://dnssec-analyzer.verisignlabs.com/<domain>) zeigt auch dass es aktiviert ist.

    Beim Testen der Mail mit (https://mecsa.jrc.ec.europa.eu/en/) wird es allerdings nicht erkannt (bei den Domains die ich für mailbox.org nutze funktioniert es)


    DMARC habe ich in den dns settings eingestellt und das scheint so auch zu funktionieren.

  • Beim Testen der Mail mit (https://mecsa.jrc.ec.europa.eu/en/) wird es allerdings nicht erkannt (bei den Domains die ich für mailbox.org nutze funktioniert es)

    sollte das denn überhaupt funktionieren, denn

    Code
    1. It seems there was an error. Please try again later.
    2. Something went Wrong, please try again.

    deutet eher auf einen unfähigen Programmierer hin als auf etwas ernst zu nehmendes ...

    man sollte ja schon sagen was nicht passt,

    denn eine Mailadresse und ein Captcha zu parsen, ist wirklich kein Hexenwerk;

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 SAS G8 / VPS 200 G8 Aktion / Webhosting 1000 minus 75% / Webhosting Spezial Mini

  • Was ist denn genau unter dem "Maildienst direkt bei Netcup" zu verstehen? Von Netcup vorkonfigurierte/betreute Dienste zum Versand von Mails (ggf. in Verbindung mit Web-Hosting-Angeboten)?


    Unter Verwendung der in Eigenregie aufgesetzten Root-Server/Domain-Einträge kann ich jedenfalls bestätigen, dass es grundsätzlich möglich ist. :D

    (Bei Durchführung der Tests sollte man beachten, dass es unter Umständen eine Weile dauert, bis "gerade getätigte Änderungen" bei Domain-Resource-Records nach außen sichtbar werden.)


    20181006_MECSA_redacted.png

  • Ja ich meine bei den vorkonfigurierten Dienst von Netcup im Rahmen eines webhosting abgebots.

    Ich habe da mehrere Domains. Ein Teil läuft eben auf diesem vorkonfigurierten Dienst von netcup und einen Teil nutze ich in Verbindung mit mailbox.org.


    Ich habe entsprechend DKIM, DNSSEC und DMARC eingestellt bei der domain die über mailbox.org läuft und das wird mir danach dann auch von mir verlinkten Test entsprechend erkannt.


    Bei der domain die auf den vorkonfigurierten Dienst bei Netcup läuft habe ich jetzt mal DNSSEC und DMARC in den DNS settings eingestellt. DMARC wird mir von dem Tool dann auch als aktiv angezeigt DNSSEC nicht.


    Die EU Seite testet anhand einer Mail die du sendest - wenn mich nicht alles täuscht.

    Also wird die Zone netcup.net getestet, die nicht signiert ist.


    Hat also nichts mit deiner Domain zu tun.


    hm nochmal für Blonde :wacko:

    Also ja es macht es anhand einer mail die ich schicke, aber ich verstehe nicht wie ich es dann einstellen und testen müsste

  • Also ja es macht es anhand einer mail die ich schicke, aber ich verstehe nicht wie ich es dann einstellen und testen müsste

    Als einzige Testmöglichkeit ist die eigene E-Mail-Adresse anzugeben, da kann man kaum etwas falsch machen.

    Der Report zeigt unter dem Reiter "Erweitert" genau an, was getestet wurde (alle Server-/Domain-Details) – wenn hier die oben erwähnte Netcup-eigene Domäne auftaucht (anstelle Deiner eigenen Einträge), könnte nur Netcup selbst "Abhilfe schaffen".

  • Oh stimmt da hatte ich auf die Fehlermeldung bei DNSSEC gar nicht geachtet ^^

    Ja stimmt das bezieht sich auf die domain netcup.net

    Daher ja auch die generelle Frage inwieweit das alles von Netcup unterstützt wird ;)

    DANE und DKIM müssten ja wohl auch über netcup laufen

  • Von wem? Wenn ich die DNS Ops Maillingliste anschaue ist das Gegenteil der Fall.

    die Frage ist eher, welchen Server man mit DANE "absichern" will ...

    ist es ein Webserver, dann macht das schon Sinn, aber das DNSSECValiditor- bzw. TLSAValidator-Plugin f. FF der NIC.cz

    wird nicht mehr weiterentwickelt¹, und daher gibt es keine Mglkt. dies clientseitig überhaupt zu prüfen;

    ist es hingegen ein Mailserver, dann macht gar keinen SInn, zumal ja kaum jemand seinen Mailserver so konfiguriert hat,

    daß die Zertifikate der anderen Mailserver in irgendeiner Weise Beachtung finden

    sprich: es können auch selbstsignierte sein; und das sind sie auch sehr oft und niemanden fällt es wirklich auf;

    von daher ist die Aussage von wegen DANE als überbewertet zu betrachten berechtigt; zumal DANE

    auch DNSSEC voraussetzt und dies ebenfalls kaum Verbreitung findet;


    ¹ diese Entscheidung ist meiner Meinung auch zu Recht, weil es nicht sein kann, daß Mozilla

    in regelmäßigen Abständen die Schnittstellen ändern kann und derart wichtige Entwicklungen

    ausbremst glzt. sie selbst bei v60 immer noch nicht in der Lage sind adäquates direkt im Browser

    zu integrieren, im Gegenteil, dieser gleicht mittlerweile eher Bloatware ...

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 SAS G8 / VPS 200 G8 Aktion / Webhosting 1000 minus 75% / Webhosting Spezial Mini

  • Wie gesagt, die richtig aktuellen Entwicklungen sind genau anders rum, als Du denkst. Große Provider nutzen DNSSEC, deployen DANE für ihre MX. Registries geben Rabatte für DNSSEC und nun auch die erste für DANE. Genau bei Mail kommt es immer mehr. Jetzt müssten nur die Browser direkt DANE einbauen.

    Es wird DoH/DoT in größerem Umfang deployed, damit mehr validierende Resolver. Da klappt es ja auch, dass Browserhersteller die Sicherheit verbessern wollen, wenn auch nicht kritikfrei.

    Es tut sich immer mehr auf dem Gebiet.

  • im Jahr 6 nach dem RFC (DANE-RFC 6698) ist die Verbreitung momentan dennoch beschämend

    und DNSSEC/DANE stehen im krassen Widerspruch zu den doch verbreiteten selbstsignierten Zertifikaten in diesem Bereich;


    und wer DNSSEC/DANE implementiert und selbstsignierte Zertifikate dabei verwendet hat die Hausaufgaben nicht gemacht;:/

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 SAS G8 / VPS 200 G8 Aktion / Webhosting 1000 minus 75% / Webhosting Spezial Mini

  • Verstehe ich jetzt nicht. Der Vorteil von DANE hätten doch self-signed Zertifikate sein sollen. Ich erinnere mich an „This is the main advantage of DANE, that self-signed certificates can be used, even with incorrect names, as long as the certificate itself is the correct one published in the DNS.“ https://blog.webernetz.net/how-to-use-danetlsa/


    Das die Verbreitung nicht hoch ist, ist kein Argument. Jeder der das nicht nutzt, darf über BGP Highjacking nicht jammern. Es wird halt alles dauern, bis der Leidensdruck zu hoch ist. Erinnert mich an IPv6...