Beiträge von Geheftet09

Hi, ich versuche mal einzeln auf die Punkte einzugehen.

Zitat von m_ueberall

Schlüssel für DKIM/ARC und TLS aus meiner Sicht gar nicht in die Hand eines Dienstleisters gehören

Da hast du mehr als recht.

Zitat von m_ueberall

Natürlich mag es Kunden geben, die hier schlichtweg keine Wahl haben (oder dieses Thema aus sonstigen Gründen delegieren wollen).

Ich z.B. habe nicht die Zeit dafür meinen eigenen Mailserver zu betreiben, daher nutze ich das Webhosting Angebot mit den inkludierten Mailservern von Netcup.

Zitat

schließlich greift hier der Dienstleister im Auftrag auf ein Verzeichnis (DNS) zu, dessen Verwaltung dem Domäneninhaber zusteht.

Das macht Netcup ja bereits bei der Ersteinrichtung, die DNS Einträge sind ja bereits vorbefüllt.

Zitat von m_ueberall

Was die doppelte Signierung anbelangt – unter Verwendung des Dienstleister-eigenen Markennamens –, bin ich wie bereits von tab in ähnlichem Kontext weiter oben ausgeführt der Meinung, dass dies das Risiko mit sich bringt, potenzielle Spam-E-Mails aufzuwerten. Gleichzeitig würde das im Falle einer Ausnutzung aufgrund der anteiligen gemeinsamen Reputation auch Unbeteiligte schaden.

Naja, wir stellen also gerade fest, das Netcup das genau so macht. Aktuell hat Netcup bei den Mailservern aus dem Webhosting zwei General DKIM Schlüssel im Einsatz für alle Domains die über diese Systeme versenden. Ist also in besitz dieser und das ist ja das Risiko. Aus diesem Grund werden die "gefälschten Absender" ja als korrekt geprüft (und wertet damit gefälschte Absende ungewollt auf). Nämlich ein CNAME Eintrag im DNS auf:

• key1._domainkey.webhosting.systems
• key2._domainkey.webhosting.systems

Aus diesem Grund plädiere ich doch für die Einführung Domain-spezifischer DKIM Schlüssel. Eine doppelte Signatur würde hier eigentlich Abhilfe schaffen. Die General DKIM Schlüssel, (key1 und key2) werden zur Identifikation genutzt, dass es von den Netcup Systemen kommt. Der Domain-spezifische DKIM Schlüssel würde die Zugehörigkeit zu einem bestimmten Webhosting Paket bzw. Domain bescheinigen.

Zitat

Die einzige saubere/kostengünstige Lösung für gemeinsam verwendete Mailserver ist letztlich die Prüfung zugeordneter Domänen (Whitelist).

Und ja, da hast du recht und damit kommen wir zu meinem Ursprungs-Punkt zurück: eigentlich muss der SMTP gegen eine Whitelist prüfen, ob ein bestimmter SMTP Authentifizierte Nutzer auch für diese Domain versenden darf. Hier habe ich ja auch bereits eine Lösungsmöglichkeit beschrieben --> es gibt intern zwischen dem annehmendem und letztlich versendeden Relay einige Routing Möglichkeiten bei Netcup. Man könnte einen Teil der relay.yourmailgateway.de Server als secure-relay.yourmailgateway.de umbauen und hier die Prüfung als letzte Instanz durchführen die auf die jeweilige Einstellung in Plesk prüft, ob eine Absenderprüfung gewünscht ist oder nicht.

und weiter:

Zitat von m_ueberall

es sich noch lange nicht rechnen, insbesondere nicht für Massenhoster, welche relativ heterogene (Kleinst!-)Kundengruppen bedienen

Im Gegenteil, ich sehe das etwas anders, besonders die Massenhoster für solche Kleinst-Kundengruppen sollten hier aktiv sein und nur erlaubte Absender zulassen - da diese sonst schnell missbraucht werden und eher die Klein-Kunden unter dem Reputationsverlust des Hosters leiden. Was das doppelte DKIM Signing angeht, das würde ich optional machen, jeder Kunde der einen Domain-eigenen Schlüssel im CCP bereitstellt, der wird auch beim Versand mit seiner Domain benutzt. Derjenige, der keinen Key bereitstellt, bekommt halt nur die Netcup DKIM Schlüssel und geht damit ein Risiko ein, das er aber generell selbst abstellen könnte.

Zitat von andreas.

bei solch günstigen Tarifen, wie sie Netcup nun mal anbietet, die eher den Fokus auf Webhosting legen und nicht E-Mail

ob nun die Preise dadurch steigen, kann Netcup ja selbst entscheiden. Ggf. muss man halt die Amortisation der Entwicklung betrachten, aber das ist kein Thema für diesen Thread, es geht hier eher um die Technik. Nur weil man auf das gute Netcup Webhosting setzt, muss ich ja kein "schlechtes" Mailhosting akzeptieren und kann auch Verbesserungen fordern. Herr Werner, seines Zeichens Director Service Development bei Anexia und GF bei netcup, kann dies ja als Anlass nehmen einen eigenen Mail-Service anzubieten oder den aktuell bestehenden Service weiterzuentwickeln.

andreas. ob ich nun einen CNAME oder TXT Record publiziere ist mir dann relativ egal.

Wir sehen also, die Netcup Mailsysteme unter netcup.net sind definitiv noch weiter optimierungsbedürftig und es sollten hier sinnvolle Überlegungen angestellt werden. Ich werde glaube ich mal einen eigenen Post dafür aufmachen und die bisher identifizierten Optimierungsmöglichkeiten spezifizieren und mit Argumenten unterlegen und dann gesammelt an Netcup weiterleiten.

Zitat von m_ueberall

„(Aktiv) vergeben“ ist sicherlich aus mehreren Gründen problematisch (selbst für Domänen, die von Netcup verwaltet werden) ohne entsprechende explizite Vereinbarung. Der Aufwand dürfte auch jegliche Kalkulation zunichtemachen.

Ich meine natürlich nicht händisch, sondern automatisiert. Das wäre klar, dass dies nicht kalkulierbar wäre - automatisiert ist es möglich. Jede Domain muss automatisiert einen Private Key zum Signage auf dem Mailserver bzw. Mail-Relay erstellt bekommen und dann muss natürlich der Public Key im CCP automatisiert angezeigt werden, damit der User diesen dann im DNS veröffentlichen kann. Bei Netcup verwalteten Domänen kann dies ja ggf. durch die DNS-API passieren.

Denkbar wäre auch der Weg anders herum. Netcup User stellt einen Private Key im CCP bereit (ähnlich der DNSSEC Einrichtung, wenn bei einem anderen DNS Anbieter) und der Public Key muss dann trotzdem vom User publiziert werden.

Oder den Empfehlungen von Microsoft folgen:
Informationen für Infrastrukturanbieter (ISPs, ESPs oder Cloud-Hostinganbieter)

Zitat von Microsoft

Sie können die E-Mail sogar doppelt mit DKIM-Signaturen signieren (mit der Domäne des Kunden, falls eingerichtet, und mit der DKIM-Signatur Ihres Unternehmens).

Wozu möchtest du eine Vereinbarung machen und was würde diese beinhalten?

Zitat von tab

... damit der eventuelle Spammer nicht durch die richtige DKIM-Signatur auch noch vertrauenswürdiger wird.

Das ist ja noch schöner 😀, aber einen Gedanken wert.

Je mehr ich darüber lese, desto mehr bin ich auch geneigt zu empfehlen, dass Netcup jeder Domain einen eigenen DKIM Key vergeben sollte. Das könnte das Thema auch etwas abmildern, wenn die Herren Administratoren den Aufwand scheuen wollen, eine Absendeadressprüfung durchzuführen.

Zitat von RAD750

Hab ich schon lang aktiv, kommt aber nix groß was rein bei mir..

Weil bisher nur die großen Provider die Reports zusenden. Die Netcup Mailserver senden auch keine DMARC Reports (übrigens auch keine SMTP-TLS Reports) zurück. Auch so ein Thema, das man mal hier nachholen könnte...würde eventuell auch das Problem dann noch deutlicher machen mit dem halb-offenen Relay.

Das hab ich auch mal gehabt, da konnte nur der Support bzw. Lars helfen.

Habe ich auch bereits gemacht und den ruf Tag auch.

Zitat von RAD750

Das ist ja eigentlich super für Scammer... Einfach also elon@tesla.com Mails versenden und nach Geld betteln.. Das muss definitiv geändert werden!

Das wäre natürlich schlecht. Würde aber bei einer strikten DMARC Richtlinie von tesla.com im Spam landen, da SPF und DKIM einen Fail ausgeben.

Habe mal gerade bei einer von mir kontrollierten Domain, die nicht bei Netcup liegt, die DNS Records für DMARC SPF DKIM entfernt. Siehe da, wird einwandfrei ins Postfach zugestellt ohne alles Spam erkannt zu werden. Das ist mehr als schlecht, mit DMARC aber nicht so schlimm. Schlimmer finde ich, dass ich mich als ein anderer Betcup-Kunde ausgeben kann, sollte ich in das Wissen darüber kommen wie die Mail ist, könnte ja dadurch auch Supportanfragen ggf. mit der Legitimation der E-Mail Adresse stellen.

Das könnt ihr mir nicht erzählen als ob dieses Verhalten von Netcup gewollt ist. Das hört sich für mich eher wir nicht mitdenkende Administratoren an.

Natürlich könnte man jetzt den Ursprung durch den Header "X-PPP-Vhost: xxxx.tld" herausfinden. Welche E-Mail Nutzer prüft das aber vorher, außer ein technisch versierter Mensch. —> Und nun zur Frage: Warum einzelne (teure) Nachsorge betreiben, wenn das Kind bereits in den Brunnen gefallen ist, anstatt generelle Vorsorge zu treffen, die den Kunden ein besseres Gefühl gibt?! Auf das Kostenthema bezogen zitiere ich mal den ehemaligen Felix P.:

Zitat von [netcup] Felix P.

Es ist am Ende eine Kostenfrage. Individuelle Arbeitszeit eines netcup-Systemadministrators müssen wir mittlerweile mit 90 Euro / Stunde in Rechnung stellen.

Und die Kosten dürften mittlerweile nochmal höher sein.

Die Frage darf [netcup] Alexander W. und [netcup] Oli W. (hoffe das sind die Geschäftsführer) oder [netcup] Lars S. mal stellen und versuchen zu beantworten.

Gerne kann die Community hier weiter pro und contra zu dem Thema aufführen und gerne eure Meinung teilen.

Zitat von aRaphael

Denn wenn du das machst und z.B. zu mailbox.org umziehst, dann kannst du dort deine emails nur unter deinem domainnamen verschicken.

Jeder andere könnte aber, bei einem Provider, der das nicht prüft, durchaus weiterhin emails mit deiner maibox.org-Adresse verschicken.

Das wäre zumindest mal ein Anfang und wäre für mich schon mal ok, da ich so sicherstellen kann, dass keiner in meinem Namen mit korrekten SPF oder DKIM Mails versenden kann. Natürlich könnte er das machen, aber dann gibt es einen Fail bei SPF und DKIM, wenn die Mails nicht von den Mailbox.org Servern kommen.

Jeder andere ist erstmal für sich selbst zuständig und muss für sich entscheiden, ob er dies "Risiko" eingehen möchte.

Generell hat hier nach wie vor weiter ein Umdenken stattzufinden.

Ich habe Netcup jetzt folgenden Vorschlag gemacht:

Für diese Relay Optionen, dass der Absender nicht geprüft wird, muss es entweder einen eigenen Service geben oder man hat im Plesk die Möglichkeit das je nach Domain ein- oder auszuschalten (oder zumindest auf die eigenen Domain zu begrenzen, das nur das @domain.tld bei der Versenderadresse geprüft wird).

--> es gibt ja intern einige Routing Möglichkeiten bei Netcup. Man könnte einen Teil der relay.yourmailgateway.de Server als secure-relay.yourmailgateway.de umbauen und hier die Prüfung als letzte Instanz durchführen die auf die Einstellung in Plesk prüft.

Das wäre für mich ok. Was haltet ihr so in der Community davon?

So weiter hab ich mich gerade mal bei Mailbox.org schlau gemacht:

Zitat

Seit 29.09.2020:

Mailversand nur noch mit angemeldeten E-Mail-Adressen bzw. Aliasen möglich

Mit Wirkung zum 29.09.2020 werden unsere Mailserver von einem Account nur noch die Absender erlauben, die diesem Account auch als Mailadresse oder Alias zugeordnet sind. Damit beugen wir Absenderfälschungen vor. In Einzelfällen nutzen Privat-, aber auch einige Geschäftskunden jedoch mailbox.org-Accounts, um darüber auch E-Mails mit Absendern zu versenden, die sie bei anderen Providern haben. Dies wird dann nicht mehr so möglich sein - die jeweiligen Adressen müssen ausdrücklich angelegt oder zumindest als "catch-all" zugeordnet sein. Unsere FAQ beschreibt die Details

[netcup] Lars S. schaut doch mal bei denen vorbei und lasst euch aus deren Doku inspirieren

Unter anderem wird dort

Zitat

Um gezielte Manipulationen durch Dritte auszuschließen, haben wir als einer der ersten Provider unsere Domain mittels DNSSEC und DANE/TLSA gesichert.

eingesetzt.

Und ein weiteres Thema bereits aktiv praktiziert:

Zitat

Zum Schutz Ihrer Privatsphäre entfernen wir bei allen ausgehenden E-Mails alle eventuell mitgesendeten Metadaten zum verwendeten Browser oder Mailclient, als auch die privaten und öffentlichen IP-Adressen des Nutzers ("IP-Stripping").

Zitat von aRaphael

Kann ich aber bei anderen Providern auch.

Ich habe gerade mal testweise über ein smtp-Relay von sträto eine email mit einer gmx-Absenderadresse verschickt.

Aber dafür ist spf ja da

Code

SPF: fail (xxxx: domain of gmx.de does not designate xxxxx as permitted sender

und bei 3&3 scheint es ja auch zu gehen:

Kann ich so nicht mehr bestätigen

Alles anzeigen

Hi aRaphael,

nur weil andere Provider es auch erlauben, heißt es nicht, dass es gut ist. Und es sollte von uns als Kunden nicht akzeptiert werden, nur weil es immer schon so war. Netcup möchte sich ja nach den Worten von Lars verbessern, hier ist die nächste Möglichkeit sich auf dem Markt herauszustellen.

Das Thema wurde bereits vor Jahren auch von anderen Usern angemerkt, wie ich gerade im Forum lese. Warten wir es ab.

Der gmx SPF Record gibt in deinem Fall das einen Fail zurück - das ist auch korrekt. Aber was ist bei dem Fall, habe ich eben schon genannt, dass beide Domains die Netcup Server benutzen, dann habe ich wieder korrekte SPF und DKIM Einträge.

Ich hab ja auch gesagt, für externe Domains ist es fast egal aufgrund von SPF und DKIM, aber eben nicht für den Anwendungsfall, wenn beide Domains bei Netcup sind.

Welchen Anwendungsfall gibt es, dass es erlaubt sein sollte, anderweitige Domains als seine eigenen zu benutzen? Das ist hier so ein bisschen die Grundfrage.

Zitat von andreas.

So wie ich es beobachtet habe, muß man bevor man eine E-Mail über den SMTP-Server von Netcup versenden möchte, sich vorher am SMTP-Server authentifizieren. Von daher würde ich aus meiner Sicht dies nicht als Schwachstelle sehen.

Hi Andreas,

ich habe ja auch nicht gesagt, dass Netcup ein offenes Relay betreibt, aber nach einmaligem SMTP Auth kann ich jede Absendeadresse eintragen die mir beliebt.

Natürlich ist das keine schwerwiegende Schwachstelle, aber toll fände ich das nicht. Zumal, DKIM und SPF Einträge keine Wirkung zeigen, wenn die Domain auch bei Netcup in den Systemen hängt. Denn dann sind diese korrekt laut Definition. Da hilft nur die Prüfung beim Versand.

Beim Versand muss geprüft werden, ob die Absendeadresse auch die ist die für die SMTP Anmeldung genutzt wurde oder ein entsprechender Alias aus dem korrekten SMTP Konto verwendet wird. Alle weiteren sollten nicht versendet werden. Möchte man jetzt nun die Send-on-Behalf Funktion nutzen, muss vorher geprüft werden, ob derjenige den Versand auch in Vertretung von einer bestimmten Adresse erlaubt - das ist bestens in Microsoft Exchange implementiert - bei Postfix weiß ich das nicht genau.

Aber Netcup muss zusehen, dass nicht jeder jede Absendeadresse aus egal welchem SMTP Konto nutzen kann.

Kein Wunder, dass Netcup immer so Probleme mit dem Empfang der Mails bei großen Anbietern und Spam hat.

Hallo liebe Netcup Community,

leider habe ich gerade festgestellt, dass die Mailserver aus dem Webhosting jegliche Adresse als Absender akzeptieren. Wenn ich eine Absendeadresse nutze die auch bei Netcup bekannt (aber anderer MX Server) ist, dann wird diese nicht mal Spam markiert, aufgrund der korrekten DKIM und SPF Einträge. Nutze ich allerdings eine bei Netcup unbekannte Absenderadresse, wird diese immerhin bei Microsoft Exchange in den Spam sortiert, da die SPF und DKIM Einträge nicht passen. Ich kann jetzt als tcook@apple.com Mails versenden. Das ist sehr uncool.

Wenn jemand aus der Community bereit ist mir seinen Domainnamen zu verraten, dann führen wir mal ein paar gemeinsame Tests durch. Nur wenn ihr möchtet.

Warum prüft Netcup nicht ob der angemeldete SMTP User überhaupt diese Adresse nutzen darf (oder ob ein entsprechender Alias angelegt ist)?

Das muss umgehend geändert werden!

Wo wir gerade von Mail sprechen, es ist ein auf und ab. Ich habe gerade mal einige Dinge getestet und bin schockiert. Ich kann die Netcup Mailserver dafür nutzen und vorgeben von einer anderen Domain zu senden. Ist diese Domain auch zufällig im Netcup Mailsystem bekannt, dann wird diese nichtmal als Spam aufgrund der korrekten DKIM und SPF Einträge markiert. Ist diese Domain nicht bei Netcup wird diese trotzdem versendet (zwar als Spam markiert), aber ich kann jetzt als tcook@apple.com Mails versenden. Sehr spannend, dass Netcup keine Prüfung macht bei der Versendung. Sehr fahrlässig. Die Send on Behalf - Funktion ist zwar nett, aber dann sollte wenigstens wie bei Exchange vom SMTP geprüft werden, ob es die Berechtigung gibt. [netcup] Lars S. ich werde dazu ein eigenes Ticket aufmachen und einen neuen Forumsbeitrag, weil das muss breit öffentlich diskutiert werden!

Nach den ersten Lobeshymnen, muss ich leider wieder sagen, wenn ihr keinen sicheren Mail-Server Betrieb könnt, dann kauft es euch ein...

Hier der besagte Thread: https://forum.netcup.de/netcup-anwendungen/ccp-customer-control-panel/p198469-smtp-lässt-jede-adresse-als-absender-zu-achtung-schwachstelle/

Bud achso, ich dachte du wärst bereits mit deinen/euren Mails bei Netcup. Dann darfst du die Vorfreude gerne behalten!

Ich hoffe das Problem wird schnell behoben!

Mit der Zustellbarkeit der E-Mails habe ich z.B. gar keine Probleme. Ich bin ja geneigt zu bleiben, wenn endlich DANE respective DNSSEC auf der *.netcup.net Domain eingesetzt werden würde und das Thema IP-Stripping nochmal umgesetzt wird bzw. die Einschätzung und Einstellung seitens Netcup sich dazu hoffentlich geändert hat.

[netcup] Lars S. Vielen Dank für deine außerordentlich schnelle Reaktion! Mein Ticket hast du ja bereits beantwortet vielleicht sind die schlechten Supportzeiten ja auch vorbei. Jetzt steigt meine Freude und das Gesamtbild von Netcup wieder! Danke.

Hi ihr beiden, ich gehöre nun auch zu den Personen mit dem Problem! Habe auch gerade ein Ticket eröffnet und kann das Verhalten mit einer Domain und div. gesammelten Headern belegen. Habe angefangen jetzt bei jeder Mail einen DSN (Übermittlungsstatus) Bericht anzufordern. Hier taucht mehrfach der Header

X-MORS-DKIM: DO_NOT_SIGN auf.

[netcup] Lars S. soviel also zu euren tollen E-Mail Verbesserungen aus dem Post: https://forum.netcup.de/netcup…beim-webhosting-mit-dane/

Bud deine Vorfreude solltest du einstellen.

Ich werde mir jetzt einen neuen Hoster suchen, so geht es nicht weiter. Support dauert zu lange, auf Kundenwünsche wird nicht eingegangen, und die nicht namentlich genannten Verbesserungen machen bestehende Funktionen kaputt (ok, diese gedachte Kausalität muss nicht stimmen, aber meinem aktuell genervten Meinungsbild über Netcup passt das gerade rein).

Apropos, da der Support ja leider elendig lange braucht per Mail, dachte ich, naja rufst du halt mal per Telefon an. Aussage des Telefonmitarbeiters: ja, da kann ich leider gar nichts machen. Senden Sie uns bitte eine Mail!

Hallo [netcup] Lars S.,

vielen Dank für deine Rückmeldung! Ich freue mich, dass ihr euch so in der Community engagiert.

Leider bin ich über die Rückmeldung trotzdem sehr enttäuscht. Natürlich freue ich mich über die allgemeinen Verbesserungen die ihr in Richtung E-Mail vorhabt, auch wenn diese unbenannt sind und wir nicht wissen wie diese aussehen.

Da euer Ziel ja die verbesserte Zustellbarkeit ist und euch anscheinend die oftmals sehr strikten Maßstäbe an die Annahme von E-Mails von großen Providern große Probleme bereiten (wie im Forum zum Thema Microsoft ja bekannt), finde ich es sehr schade, dass Netcup die Umsetzung von DANE nicht als Quick-Win verbuchen will. Allem in allem sieht es so aus, als ob es relativ simpel umzusetzen ist --> siehe Links:

https://doku.lrz.de/display/PUBLIC/DANE+eingehend

https://doku.lrz.de/display/PUBLIC/DANE+eingehend+mit+Postfix+einrichten

https://doku.lrz.de/display/PUBLIC/DANE+ausgehend

https://doku.lrz.de/display/PUBLIC/DANE+ausgehend+mit+Postfix+einrichten

---> lediglich die Umsetzung von DNSSEC und die Einrichtung der entsprechenden TLSA Records muss dazu erfolgt sein und minimale Anpassungen an der postfix Konfiguration vorgenommen werden. Ich weiß nicht wie ihr eure Server administriert, aber sowas sollte z.B. per Ansible Playbooks (oder einer anderen Lösung) in kürzester Zeit auf die Systeme ausgerollt sein.

Könntet ihr zumindest DANE (erst mal nur eingehen und wenn das läuft ausgehend) nicht mal in euren Netcup Labs testen?

Vielleicht gehe ich doch dazu über meinen Mailserver wieder selbst zu betreiben oder schaue mich bei mailbox.org mal um.

Hier im längsten Thema sind ja einige Super-User und Foren-Stars von Netcup unterwegs.

Gab es sowas schon mal?

Feature wurde von Netcup angekündigt per Pressemeldung, dann aber die Umsetzung vergessen?

In der Pressemeldung vom 22.06.2016 wurde angekündigt:

Zitat

Darüber hinaus bietet netcup ab sofort ebenfalls die Möglichkeit, das Netzwerkprotokoll DANE (DNS-based Authentification of Named Entities) in Verbindung mit DNSSEC zu nutzen. Die für DANE notwendigen TLSA Records können vom Kunden selbst in den DNS- Zonen hinterlegt werden. Der Internet Service Provider plant, künftig alle Mailserver automatisiert mit DANE auszustatten. Damit möchte netcup seinen Kunden nicht nur eine verschlüsselte Kommunikation garantieren, sondern insgesamt eine erhöhte Sicherheit für Webseitenbetreiber und Nutzer bieten.

Ich finde das sehr schade und spricht leider nicht unbedingt für die Verlässlichkeit von Netcup.

Ich hoffe unser allseits geschätzter [netcup] Lars S. oder [netcup] Claudia H. können zum Thema automatisiertes DANE in den Webhosting Tarifen bald was beitragen.

Hintergrund ist folgender Beitrag von mir; gerne auch in der Umfrage voten.

Ich bin gerade auf einen News-Beitrag von Netcup aus dem Jahre 2016 gestoßen: Netcup News 22.06.2016

Hier wird angekündigt:

Zitat

Darüber hinaus bietet netcup ab sofort ebenfalls die Möglichkeit, das Netzwerkprotokoll DANE (DNS-based Authentification of Named Entities) in Verbindung mit DNSSEC zu nutzen. Die für DANE notwendigen TLSA Records können vom Kunden selbst in den DNS- Zonen hinterlegt werden. Der Internet Service Provider plant, künftig alle Mailserver automatisiert mit DANE auszustatten. Damit möchte netcup seinen Kunden nicht nur eine verschlüsselte Kommunikation garantieren, sondern insgesamt eine erhöhte Sicherheit für Webseitenbetreiber und Nutzer bieten.

Das macht die Thematik natürlich noch spannender. Pressemitteilung gemacht, aber Umsetzung vergessen? Da wäre wohl eine Pressemitteilung mit einer Absage wohl auch angebracht gewesen.

[netcup] Lars S. und [netcup] Claudia H. könnt ihr zu dem Thema DANE bereits etwas sagen?

Die ersten Nutzer, siehe Umfrage, hätten ja auch dafür Verwendung.

Hi in die Runde,

ich wollte euch mal auf meinen Beitrag zur Optimierung der E-Mailserver im Webhosting mittels DANE aufmerksam machen.

Leider unterstützt Netcup DANE nicht auf der netcup.net Domain, da auch kein DNSSEC eingesetzt wird und keine TLSA Records veröffentlicht werden.

Ich würde mich freuen, wenn noch der ein oder andere aus der Community mit abstimmen würde.