Bund sichert überraschend Mailtransport per DANE ab

Das zeigt eine kurze Analyse mit gängigen Linux-Tools. Der Schritt kommt überraschend und steht in auffälligem Kontrast zur Werbe-Kampagne der Initiative "E-Mail made in Germany".

In Pocket speichern vorlesen Druckansicht 123 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Dusan Zivadinovic

Der Bund gehört nun zu den ersten Nutzern der modernen DANE-Technik, mittels der sich der TLS-verschlüsselte Mail-Transport absichern lässt. DNS-Based Authentication of Named Entities beseitigt verschiedene Schwachstellen der üblichen Transportwegverschlüsselung TLS und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und auch beim Zugriff auf Webseiten. Als erster Mail-Anbieter hatte das Berliner Unternehmen Posteo das Verfahren auf seinen Mail- und Web-Servern zugleich eingeführt.

Der Zugriff auf die Webseite bund.de ist bisher nicht per DANE abgesichert, sondern lediglich der Mail-Verkehr der zwei SMTP-Server mx1.bund.de und mx2.bund.de. Das Portal bündelt unter anderem Stellenangebote der Bundes-, Landes- und Kommunalverwaltung, Ausschreibungen, Leistungsangebote und andere Angebote des Bundes.

Vorbildlich: Ohne besondere Ankündigung hat der Bund seine Domain bund.de für den Mailtransport mittels DANE abgesichert. Prinzipiell wäre auch eine Absicherung möglich über das proprietäre Verfahren, das die Initiative "E-Mail made in Germany" einsetzt. Der Bund hat sich offenbar für den offenen Standard entschieden.

Der Schritt des Bundes steht in auffälligem Kontrast zur Initiative "E-Mail made in Germany". Diese haben die Telekom, an der der Bund ja beteiligt ist, und United Internet mit 1&1, GMX und Web.de ins Leben gerufen, um untereinander, nach einem eigenen Verfahren, ebenfalls abgesicherten Mail-Transport anzubieten (Inter Mail Provider Trust, hier finden Sie eine Beschreibung). Seit Ende April können dem Verbund auch andere Unternehmen und Institutionen beitreten. Das ist jedoch anders als DANE kostenpflichtig. Der TÜV Rheinland zertifiziert die Implementierung und überprüft sie jährlich.

Wer seine Domain selbst verwaltet, kann DANE im Prinzip zu eigenen Kosten selbst implementieren – entsprechendes Know-how vorausgesetzt. Das ist in Deutschland bisher der einzige Weg, denn noch fehlt es an entsprechenden Domain-Angeboten. Die sind freilich so einfach nicht aufzusetzen, denn DANE setzt DNSSEC voraus, die Technik zur kryptografisch abgesicherten Übertragung von DNS-Antworten.

Ob eine Domain per DANE abgesichert ist, kann man mittels verschiedenen Werkzeugen abfragen. Auf Rechnern, die mit dem DNS-Server BIND9 bestückt sind (erhältlich für Unix- und Windows-Plattformen von isc.org) kann man dafür das Kommandozeilentool dig einsetzen, beispielsweise so:

dig +dnssec +noall +answer +multi _25._tcp.mx1.bund.de TLSA

Zuvor erfragt man aus dem Domain Name System, unter welchen Namen die Mail-Server einer Domain zu erreichen sind, beispielsweise mit dem Befehl "host", also etwa "host bund.de". Mittels dig fragt man dann den TLSA-Record ab und blendet ihn ein.

Wer den SMTP-Server Postfix in aktueller Version 2.11 eingerichtet hat, kann mit dem Testprogramm posttls-finger noch einiges mehr in Erfahrung bringen, beispielsweise von wem das Zertifikat stammt, das der Domain-Betreiber einsetzt; Postfix muss für diese Abfrageart mit TLS-Support kompiliert sein:

posttls-finger -t30 -T180 -c -L verbose,summary bund.de

Das Programm baut im obigen Beispiel eine TLS-abgesicherte Verbindung auf und blendet dann etliche Verbindungsparameter auf der Kommandozeile ein. Ganz am Schluss findet sich beispielsweise, dass der Mail-Server mx1.bund.de eine AES-Verschlüsselung mit einer Schlüssellänge von 256 Bit einsetzt.

Verified TLS connection established to mx1.bund.de
[77.87.224.163]:25: TLSv1 with cipher DHE-RSA-AES256-SHA
(256/256 bits)


(dz)