dnssec auf email server?

  • Hallo Forum,


    wäre es nicht möglich die email server von netcup.net auch auf dnssec umzustellen?

    Meine Domain ist dnssec "gesichert", aber der email server auf netcup.net leider nicht :(

    Wäre eine größere Sicherheit, im Bezug auf Email.


    gruß

    Iom

  • Was hat DNSSEC mit E-Mail Sicherheit zu tun?

    Wer sichere Mails haben möchte, nutzt PGP oder S/MIME.


    Alles andere ist Transportverschlüsselung und Spamschutz.

    Oder anders: macht DNSSEC jetzt HTTP over TLS sicherer?


    Ich brauche ja immer noch ein Zertifikat innerhalb einer Trustchain, was mir für die Echtheit eines Servers Brief und Siegel gibt.

  • DNSSEC in Kombination TLSA/DANE ermöglicht das pinnen der SSL Zertifikate in den per Trustchain verifizierten DNS Records und macht damit MITM Angriffe nahezu unmöglich. Dadurch wird auch TLS sicherer, da dein Server Zertifikat angepinnt wurde ;)


    Hier kann man sehen welche E-Mail Provider DANE einsetzen

    https://de.ssl-tools.net/providers

  • Wenn meine Mail attraktiv genug für MITM Angriffe sind, und diese nicht PGP verschlüssele, dann habe ich a) ein Problem und b) etwas falsch gemacht.

    Oder sollte ich jetzt anfangen bei jedem, dem ich ne Mail schicken möchte unter das Sofa zu gucken, ob der auch DANE, DNSSEC und signierte BGP-Announcements unterstützt?


    Edit: Wenn ich das richtig sehe muss ich meine DNS Records ständig anpassen, wenn ich LE verwende

  • Wenn meine Mail attraktiv genug für MITM Angriffe sind, und diese nicht PGP verschlüssele, dann habe ich a) ein Problem und b) etwas falsch gemacht.

    Oder sollte ich jetzt anfangen bei jedem, dem ich ne Mail schicken möchte unter das Sofa zu gucken, ob der auch DANE, DNSSEC und signierte BGP-Announcements unterstützt?


    Edit: Wenn ich das richtig sehe muss ich meine DNS Records ständig anpassen, wenn ich LE verwende

    DANE & DNSSEC zu haben bedeutet ja nicht, dass man auf PGP verzichten muss :)


    Wenn du das einsetzt schützt es dich beim Empfang und bei Verbindungen mit POP3/IMAP sofern von den Clienten unterstützt.

    Es gibt sogar Browserplugins die DANE Verifizierung durchführen, wenn der Record für Port 443 gesetzt ist.


    Ja, man muss den Eintrag immer aktualisieren, aber wenn die TLSA Einträge korrekt gemacht werden kommt es zu keiner Unterbrechung des Dienstes.

    Man kann die CA als Fallback anpinnen (was bei LE natürlich bedeutet alle LE Zertifikate zu akzeptieren). Das ist in der Tat ein Nachteil wenn nur Domainvalidierung durch geführt wird bei der CA ^^

    Edit: Der Nachteil gilt nicht wenn man den selben Key zum signieren des CSR nimmt.

  • DKIM nutzt auch DNS.


    Allgemein: Vergesst die E-Mails, meiner Meinung nach ist DNSSEC erstmal immer ne gute Idee. Ist ein Angriffsvektor weniger, den man auflässt.

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Ein weiterführender Knackpunkt von DNSSEC ist, dass man anschließend mithilfe von DANE TLS-Zertifikate an eine Domain anpinnen kann. Diese Zertifikate werden (je nach Konfiguration) vom Client auch als gültig akzeptiert, wenn sie von einer Fremden Zertifizierungsstelle stammen bzw. selbst signiert sind. DANE funktioniert dabei für beliebige Ports und Protokolle (somit auch bspw. für E-Mail-Server).


    Das Problem mit CAs ist, dass diese für jede beliebige Adresse Zertifikate ausstellen dürfen. Wie das schief geht, kann man an Symantec sehen. Deswegen gibt es mehrere Konzepte den missbrauch von CAs zu unterbinden. Mit DNSSEC+DANE+TLS werden CAs überflüssig. Zudem kann man unterbinden, dass andere (von CAs als gültig befundene) Zertifikate für die eigene Domain verwendet werden.


    Ein anderes verfahren, welches allerdings auf HTTP beschränkt ist dafür von den Webbrowser unterstützt wird, wäre HPKP (der Header ist ähnlich aufgebaut wie bei HSTS). Interessant wird die ganze Geschichte aber mit RansomPKP Angriffen. :D

  • DNSSEC ist nicht das Gelbe vom Ei :D


    es gibt noch keinen Browser, Mailer oder sonstwas, welcher bei fehlendem od. falschen TLSA

    einen echten 'hardfail' veranstaltet;


    und da die Mozilla Pfuscher der Meinung sind bei jedem Pseudo-Release die Schnittstellen ändern zu müssen,

    hat auch das Addon der NIC.CZ (https://www.dnssec-validator.cz/) quasi ausgedient;


    Spin "Mit DNSSEC+DANE+TLS werden CAs überflüssig.", das hätten manche gerne, ist aber falsch;



    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)