Ist es möglich für den Maildienst direkt bei Netcup DKIM oder DANE einzurichten?
DKIM und DANE
- maxbachmann
- Erledigt
-
-
Ich ergänze zu der Frage ist die Nutzung von DNSSEC möglich?
Habe das für die Domain aktiviert (https://dnssec-analyzer.verisignlabs.com/<domain>) zeigt auch dass es aktiviert ist.
Beim Testen der Mail mit (https://mecsa.jrc.ec.europa.eu/en/) wird es allerdings nicht erkannt (bei den Domains die ich für mailbox.org nutze funktioniert es)
DMARC habe ich in den dns settings eingestellt und das scheint so auch zu funktionieren.
-
Beim Testen der Mail mit (https://mecsa.jrc.ec.europa.eu/en/) wird es allerdings nicht erkannt (bei den Domains die ich für mailbox.org nutze funktioniert es)
sollte das denn überhaupt funktionieren, denn
deutet eher auf einen unfähigen Programmierer hin als auf etwas ernst zu nehmendes ...
man sollte ja schon sagen was nicht passt,
denn eine Mailadresse und ein Captcha zu parsen, ist wirklich kein Hexenwerk;
-
Die EU Seite testet anhand einer Mail die du sendest - wenn mich nicht alles täuscht.
Also wird die Zone netcup.net getestet, die nicht signiert ist.
Hat also nichts mit deiner Domain zu tun.
-
Was ist denn genau unter dem "Maildienst direkt bei Netcup" zu verstehen? Von Netcup vorkonfigurierte/betreute Dienste zum Versand von Mails (ggf. in Verbindung mit Web-Hosting-Angeboten)?
Unter Verwendung der in Eigenregie aufgesetzten Root-Server/Domain-Einträge kann ich jedenfalls bestätigen, dass es grundsätzlich möglich ist.
(Bei Durchführung der Tests sollte man beachten, dass es unter Umständen eine Weile dauert, bis "gerade getätigte Änderungen" bei Domain-Resource-Records nach außen sichtbar werden.)
-
Mit Google Chrome funktionierte da bei mir nichts (wahrscheinlich wg. einem oder mehreren "bösen" Plugin(s)?) – mit Firefox ging es dann.
-
Ja ich meine bei den vorkonfigurierten Dienst von Netcup im Rahmen eines webhosting abgebots.
Ich habe da mehrere Domains. Ein Teil läuft eben auf diesem vorkonfigurierten Dienst von netcup und einen Teil nutze ich in Verbindung mit mailbox.org.
Ich habe entsprechend DKIM, DNSSEC und DMARC eingestellt bei der domain die über mailbox.org läuft und das wird mir danach dann auch von mir verlinkten Test entsprechend erkannt.
Bei der domain die auf den vorkonfigurierten Dienst bei Netcup läuft habe ich jetzt mal DNSSEC und DMARC in den DNS settings eingestellt. DMARC wird mir von dem Tool dann auch als aktiv angezeigt DNSSEC nicht.
Die EU Seite testet anhand einer Mail die du sendest - wenn mich nicht alles täuscht.
Also wird die Zone netcup.net getestet, die nicht signiert ist.
Hat also nichts mit deiner Domain zu tun.
hm nochmal für Blonde
Also ja es macht es anhand einer mail die ich schicke, aber ich verstehe nicht wie ich es dann einstellen und testen müsste
-
und der von euch erwähnte Fehler tritt schätzungsweise auf weil das über einen Cookie gelöst ist den ihr schätzungsweise blockt (jedenfalls war das bei mir der Grund)
-
oh und da der Test mit https://dnssec-analyzer.verisignlabs.com
dass DNSSEC dies ja erkennt wäre ich jetzt davon ausgegangen dass es allgemein schon nach außen sichtbar ist.
Zusätzlich dann eben noch die Frage ob DANE und DKIM mit diesem vorkonfigurierten Dienst möglich sind
-
Also ja es macht es anhand einer mail die ich schicke, aber ich verstehe nicht wie ich es dann einstellen und testen müsste
Als einzige Testmöglichkeit ist die eigene E-Mail-Adresse anzugeben, da kann man kaum etwas falsch machen.
Der Report zeigt unter dem Reiter "Erweitert" genau an, was getestet wurde (alle Server-/Domain-Details) – wenn hier die oben erwähnte Netcup-eigene Domäne auftaucht (anstelle Deiner eigenen Einträge), könnte nur Netcup selbst "Abhilfe schaffen".
-
Oh stimmt da hatte ich auf die Fehlermeldung bei DNSSEC gar nicht geachtet
Ja stimmt das bezieht sich auf die domain netcup.net
Daher ja auch die generelle Frage inwieweit das alles von Netcup unterstützt wird
DANE und DKIM müssten ja wohl auch über netcup laufen
-
auf das muss man mal kommen, daß die EU Test Seite einen Referer braucht ...,
der wird bei mir beim Proxy global entfernt ...
-
Ik
wobei es bei mir wenn eine Eingabemaske nicht macht was sie soll eigentlich auf 99% der geblockte Cookie ist
-
Bin gerade über den Thread gestolpert auf der Suche nach den Themen DMARC/DKIM und co und bin gerade etwas schockiert was die EU Seite bei dem Netcup MX ausspuckt....
2018-12-04 11_35_37-My Email Communications Security Assessment (MECSA).png
-
DANE wird überbewertet.
-
DANE wird überbewertet.
Von wem? Wenn ich die DNS Ops Maillingliste anschaue ist das Gegenteil der Fall.
-
Von wem? Wenn ich die DNS Ops Maillingliste anschaue ist das Gegenteil der Fall.
die Frage ist eher, welchen Server man mit DANE "absichern" will ...
ist es ein Webserver, dann macht das schon Sinn, aber das DNSSECValiditor- bzw. TLSAValidator-Plugin f. FF der NIC.cz
wird nicht mehr weiterentwickelt¹, und daher gibt es keine Mglkt. dies clientseitig überhaupt zu prüfen;
ist es hingegen ein Mailserver, dann macht gar keinen SInn, zumal ja kaum jemand seinen Mailserver so konfiguriert hat,
daß die Zertifikate der anderen Mailserver in irgendeiner Weise Beachtung finden
sprich: es können auch selbstsignierte sein; und das sind sie auch sehr oft und niemanden fällt es wirklich auf;
von daher ist die Aussage von wegen DANE als überbewertet zu betrachten berechtigt; zumal DANE
auch DNSSEC voraussetzt und dies ebenfalls kaum Verbreitung findet;
¹ diese Entscheidung ist meiner Meinung auch zu Recht, weil es nicht sein kann, daß Mozilla
in regelmäßigen Abständen die Schnittstellen ändern kann und derart wichtige Entwicklungen
ausbremst glzt. sie selbst bei v60 immer noch nicht in der Lage sind adäquates direkt im Browser
zu integrieren, im Gegenteil, dieser gleicht mittlerweile eher Bloatware ...
-
Wie gesagt, die richtig aktuellen Entwicklungen sind genau anders rum, als Du denkst. Große Provider nutzen DNSSEC, deployen DANE für ihre MX. Registries geben Rabatte für DNSSEC und nun auch die erste für DANE. Genau bei Mail kommt es immer mehr. Jetzt müssten nur die Browser direkt DANE einbauen.
Es wird DoH/DoT in größerem Umfang deployed, damit mehr validierende Resolver. Da klappt es ja auch, dass Browserhersteller die Sicherheit verbessern wollen, wenn auch nicht kritikfrei.
Es tut sich immer mehr auf dem Gebiet.
-
im Jahr 6 nach dem RFC (DANE-RFC 6698) ist die Verbreitung momentan dennoch beschämend
und DNSSEC/DANE stehen im krassen Widerspruch zu den doch verbreiteten selbstsignierten Zertifikaten in diesem Bereich;
und wer DNSSEC/DANE implementiert und selbstsignierte Zertifikate dabei verwendet hat die Hausaufgaben nicht gemacht;
-
Verstehe ich jetzt nicht. Der Vorteil von DANE hätten doch self-signed Zertifikate sein sollen. Ich erinnere mich an „This is the main advantage of DANE, that self-signed certificates can be used, even with incorrect names, as long as the certificate itself is the correct one published in the DNS.“ https://blog.webernetz.net/how-to-use-danetlsa/
Das die Verbreitung nicht hoch ist, ist kein Argument. Jeder der das nicht nutzt, darf über BGP Highjacking nicht jammern. Es wird halt alles dauern, bis der Leidensdruck zu hoch ist. Erinnert mich an IPv6...