IETF verabschiedet Standard für die Absicherung des verschlüsselten Mail-Transports

Die Internet Engineering Task Force (IETF) hat die Spezifikation DANE for SMTP in den Status eines Standards erhoben. Mit dem RFC 7672 schafft die Organisation eine Grundlage, die mittels TLS verschlüsselte Datenübertragung zwischen Mail-Servern effektiv gegen Zertifikatsmanipulationen abzusichern. Hersteller, die sich noch zurückgehalten hatten, diese Sicherheitstechnik zu implementieren, können ihren Kunden nun mit DANE mehr Sicherheit bieten und administrative Kosten bei der Umsetzung von Sicherheitsrichtlinien senken.

Mehr Sicherheit bei weniger Aufwand

Die auch DANE/TLSA genannte Sicherheitsmethode erspart das aufwendige und fehleranfällige manuelle Certificate Fingerprint Pinning. Darunter fassen Mail-Provider Richtlinien zusammen, die auf Senderseite vor Man-in-the-Middle Attacken und vor Session-Downgrades schützen sollen. Weltweit gibt es jedoch eine fast schon unüberschaubar große Zahl an Mail-Providern und es ist ökonomisch schlicht nicht möglich, Richtlinien für alle manuell anzulegen und zu pflegen, sodass derartige Absicherungen selten sind. Ändern sich die Kommunikationsparameter unbemerkt, zum Beispiel durch den Austausch eines abgelaufenen Zertifikats, verbietet die Richtlinie auf Seiten des SMTP-Senders die Verbindungsaufnahme, der Mail-Versand scheitert – und der Administrator muss sich auf die Fehlersuche und Reparatur begeben.

Mit DANE for SMTP gehören solche Probleme der Vergangenheit an. Die Empfängerseite gibt über einen DNSSEC-gesicherten Kanal bekannt, dass sie TLS anbietet und mit welchen Fingerprint das Zertifikat des Zielservers identifiziert werden kann. Damit entfällt das instabile manuelle Certificate Fingerprint Pinning auf Senderseite. Verbindliche Senderichtlinien werden stabiler und sind letztlich wesentlich günstiger zu administrieren. Damit wird der TLS-abgesicherte Mail-Transport selbst für kleine Unternehmen oder Privatnutzer mit DNSSEC- und DANE-Know-how vorstellbar.

Nur zwei Jahre bis zum Standard

Das RFC 7672 durchlief in gerade mal zwei Jahren die Gremien der IETF. Damit ist es vergleichsweise schnell standardisiert worden. Wesentlichen Anteil daran hatten einige deutsche ISPs und Mail-Anbieter, die DANE bereits früh vollständig auf ihren Plattformen implementierten – also auf Sender- und Empfängerseite. Der Kabelnetzbetreiber Unitymedia hat bereits im März 2014 begonnen, DANE zu implementieren. Als erster Mail-Provider hatte Posteo.de die Technik im Mai 2014 eingeführt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert im aktuellen Entwurf der technischen Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) von E-Mail-Diensteanbietern, die einen sicheren Transport von E-Mails bewerben, die Umsetzung der DANE-Technik. Spätestens mit der Rezertifizierung sollen Anbieter DANE anbieten und nutzen.

[Update]: 15.10.2015, 21:05, Datum des DANE-Starts in Deutschland und ISP-Bezeichnung ergänzt.

Wie sich DNSSEC und DANE implementieren lassen, hat heise Netze in diversen Artikeln für verschiedene Plattformen beschrieben. Mehr dazu finden Sie auf unseren Themenseiten:

• DNSSEC: Eine Erweiterung des Domain Name System, die DNS-Daten kryptografisch gegen Fälschungen absichert und die Quelle der DNS-Daten authentisiert

• DANE: Eine Protokollfamilie, die die DNSSEC-Infrastruktur zur Authentisierung verwendet. (dz)