Optimierung der Netcup E-Mail Systeme (beim Webhosting) mit DANE

  • Soll Netcup DANE für die E-Mail Server aus den Webhosting Produkten implementieren und bereitstellen? 37

    The result is only visible to the participants.

    Hallo liebe Community,


    meistens bin ich nur stiller Leser, aber heute möchte ich mich auch einmal zu Wort melden. Es geht um das Thema DANE für die E-Mail Systeme aus den Webhosting Produkten.


    Gerne möchte ich den Netcup Produktentwicklern und Administratoren die Optimierung der Netcup E-Mail Systeme hinsichtlich DANE mit auf den Weg geben. Leider wird DANE aktuell auf der Domain netcup.net sowie den Subdomains *.netcup.net noch nicht unterstützt - wir, als Webhosting Kunden, haben ja auch kein Zugriff auf das DNS der Domain. Leider war der Support nur mäßig auskunftsfähig zu dem Thema.


    Für alle die nicht wissen was DANE ist, hier ist auf die Schnelle ein kleiner Auszug aus Wikipedia:

    Quote

    DNS-based Authentication of Named Entities (DANE) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern. Das Protokoll erweitert die verbreitete Transportwegverschlüsselung SSL/TLS in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden können, und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten. Dazu werden X.509-Zertifikate mit DNS-Einträgen verknüpft und per DNS-Security Extensions (DNSSEC) gesichert.

    Damit DANE für die Mail-Systeme aus dem Webhosting benutzbar wird, benötigt es für die Domain netcup.net DNSSEC sowie die korrekten TLSA Records für die Subdomains für die Mailserver unter mxXXXX.netcup.net - die müssen durch Netcup gemanaged werden.


    Gerne würde ich eine Umfrage starten, ob Netcup sich mit der Umsetzung von DANE auseinandersetzen sollte. Ich hoffe, dass sich Netcup dies dann ggf. zu Herzen nimmt und implementiert. Ich weiß, es wird wahrscheinlich bei so einer Größe nicht trivial sein, aber sicherlich machbar.


    Auch Microsoft ist mittlerweile dazu übergegangen DANE zu Unterstützen: https://learn.microsoft.com/de…works?view=o365-worldwide sowie die Ankündigung Anfang 2022: https://techcommunity.microsof…-with-dnssec/ba-p/3100920


    Nicht desto trotz würde mich besonders vor allem die Meinung von [netcup] Lars S. zu diesem Thema interessieren. Gerne auch mit einer Begründung warum Netcup dies eventuell nicht einführen möchte, aber am liebsten mit der Ankündigung, dass dieses Feature bereits kurz vor Release steht ;) <3


    Gerne freue ich mich auch über Anregungen und Hinweise aus der Community. Ratschläge für den Betrieb eigener Mailserver benötige ich jedoch nicht, da ich diese Aufgabe lieber einem professionellen Hoster überlassen möchte und nicht die Muße und die Zeit dafür habe.


    Viele Grüße und eine schöne Woche euch allen! :)

  • Ich bin gerade auf einen News-Beitrag von Netcup aus dem Jahre 2016 gestoßen: Netcup News 22.06.2016


    Hier wird angekündigt:

    Quote

    Darüber hinaus bietet netcup ab sofort ebenfalls die Möglichkeit, das Netzwerkprotokoll DANE (DNS-based Authentification of Named Entities) in Verbindung mit DNSSEC zu nutzen. Die für DANE notwendigen TLSA Records können vom Kunden selbst in den DNS- Zonen hinterlegt werden. Der Internet Service Provider plant, künftig alle Mailserver automatisiert mit DANE auszustatten. Damit möchte netcup seinen Kunden nicht nur eine verschlüsselte Kommunikation garantieren, sondern insgesamt eine erhöhte Sicherheit für Webseitenbetreiber und Nutzer bieten.


    Das macht die Thematik natürlich noch spannender. Pressemitteilung gemacht, aber Umsetzung vergessen? Da wäre wohl eine Pressemitteilung mit einer Absage wohl auch angebracht gewesen.


    [netcup] Lars S. und [netcup] Claudia H. könnt ihr zu dem Thema DANE bereits etwas sagen?


    Die ersten Nutzer, siehe Umfrage, hätten ja auch dafür Verwendung.

  • Hallo Geheftet09,


    danke für deine Hinweise und Anregungen bezüglich DANE.


    Aktuell kann ich hierzu keine Neuigkeiten mitteilen. Unsere Priorität, insbesondere im Bereich E-Mail-Versand, liegt aktuell auf einer weiteren Erhöhung der Zustellbarkeit, auch an große Freemail-Provider, die oftmals sehr strikte Maßstäbe an die Annahme von E-Mails setzen. Hier haben wir in den letzten Jahren und Monaten auch schon große Fortschritte gemacht, insbesondere im Bereich shared Webhosting. Dennoch sind hier noch weitere Verbesserungen möglich und derzeit auch aktiv in Umsetzung. Sicherlich kann zukünftig auch DANE zu diesen Optimierungen zählen. Es ist aktuell aber nicht unser Hauptfokus und wir halten andere Optimierungen derzeit für wichtiger, um weiterhin ein hohes Maß an Qualität im Bereich des E-Mail-Versands sicherstellen zu können.

  • Aktuell kann ich hierzu keine Neuigkeiten mitteilen. Unsere Priorität, insbesondere im Bereich E-Mail-Versand, liegt aktuell auf einer weiteren Erhöhung der Zustellbarkeit, auch an große Freemail-Provider, die oftmals sehr strikte Maßstäbe an die Annahme von E-Mails setzen. Hier haben wir in den letzten Jahren und Monaten auch schon große Fortschritte gemacht, insbesondere im Bereich shared Webhosting. Dennoch sind hier noch weitere Verbesserungen möglich und derzeit auch aktiv in Umsetzung. Sicherlich kann zukünftig auch DANE zu diesen Optimierungen zählen. Es ist aktuell aber nicht unser Hauptfokus und wir halten andere Optimierungen derzeit für wichtiger, um weiterhin ein hohes Maß an Qualität im Bereich des E-Mail-Versands sicherstellen zu können.

    DAS ist tatsächlich mal eine sehr schöne Neuigkeit (zumindest für mich), und freut mich sehr. Aktuell ist es natürlich nur Hoffnung, aber bleibt abzuwarten...

    [RS] 2000 G11 | 2000 G9 | 500 G8 | 2x Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Like 1
  • Hallo [netcup] Lars S.,


    vielen Dank für deine Rückmeldung! Ich freue mich, dass ihr euch so in der Community engagiert.


    Leider bin ich über die Rückmeldung trotzdem sehr enttäuscht. Natürlich freue ich mich über die allgemeinen Verbesserungen die ihr in Richtung E-Mail vorhabt, auch wenn diese unbenannt sind und wir nicht wissen wie diese aussehen.


    Da euer Ziel ja die verbesserte Zustellbarkeit ist und euch anscheinend die oftmals sehr strikten Maßstäbe an die Annahme von E-Mails von großen Providern große Probleme bereiten (wie im Forum zum Thema Microsoft ja bekannt), finde ich es sehr schade, dass Netcup die Umsetzung von DANE nicht als Quick-Win verbuchen will. Allem in allem sieht es so aus, als ob es relativ simpel umzusetzen ist --> siehe Links:


    https://doku.lrz.de/display/PUBLIC/DANE+eingehend

    https://doku.lrz.de/display/PUBLIC/DANE+eingehend+mit+Postfix+einrichten

    https://doku.lrz.de/display/PUBLIC/DANE+ausgehend

    https://doku.lrz.de/display/PUBLIC/DANE+ausgehend+mit+Postfix+einrichten


    ---> lediglich die Umsetzung von DNSSEC und die Einrichtung der entsprechenden TLSA Records muss dazu erfolgt sein und minimale Anpassungen an der postfix Konfiguration vorgenommen werden. Ich weiß nicht wie ihr eure Server administriert, aber sowas sollte z.B. per Ansible Playbooks (oder einer anderen Lösung) in kürzester Zeit auf die Systeme ausgerollt sein.


    Könntet ihr zumindest DANE (erst mal nur eingehen und wenn das läuft ausgehend) nicht mal in euren Netcup Labs testen?


    Vielleicht gehe ich doch dazu über meinen Mailserver wieder selbst zu betreiben oder schaue mich bei mailbox.org mal um.