Bund sichert ĂĽberraschend Mailtransport per DANE ab
Das zeigt eine kurze Analyse mit gängigen Linux-Tools. Der Schritt kommt überraschend und steht in auffälligem Kontrast zur Werbe-Kampagne der Initiative "E-Mail made in Germany".
Der Bund gehört nun zu den ersten Nutzern der modernen DANE-Technik, mittels der sich der TLS-verschlüsselte Mail-Transport absichern lässt. DNS-Based Authentication of Named Entities beseitigt verschiedene Schwachstellen der üblichen Transportwegverschlüsselung TLS und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und auch beim Zugriff auf Webseiten. Als erster Mail-Anbieter hatte das Berliner Unternehmen Posteo das Verfahren auf seinen Mail- und Web-Servern zugleich eingeführt.
Der Zugriff auf die Webseite bund.de ist bisher nicht per DANE abgesichert, sondern lediglich der Mail-Verkehr der zwei SMTP-Server mx1.bund.de und mx2.bund.de. Das Portal bĂĽndelt unter anderem Stellenangebote der Bundes-, Landes- und Kommunalverwaltung, Ausschreibungen, Leistungsangebote und andere Angebote des Bundes.
Der Schritt des Bundes steht in auffälligem Kontrast zur Initiative "E-Mail made in Germany". Diese haben die Telekom, an der der Bund ja beteiligt ist, und United Internet mit 1&1, GMX und Web.de ins Leben gerufen, um untereinander, nach einem eigenen Verfahren, ebenfalls abgesicherten Mail-Transport anzubieten (Inter Mail Provider Trust, hier finden Sie eine Beschreibung). Seit Ende April können dem Verbund auch andere Unternehmen und Institutionen beitreten. Das ist jedoch anders als DANE kostenpflichtig. Der TÜV Rheinland zertifiziert die Implementierung und überprüft sie jährlich.
Wer seine Domain selbst verwaltet, kann DANE im Prinzip zu eigenen Kosten selbst implementieren – entsprechendes Know-how vorausgesetzt. Das ist in Deutschland bisher der einzige Weg, denn noch fehlt es an entsprechenden Domain-Angeboten. Die sind freilich so einfach nicht aufzusetzen, denn DANE setzt DNSSEC voraus, die Technik zur kryptografisch abgesicherten Übertragung von DNS-Antworten.
Spielzeug fĂĽr DANE-Testabfragen
Ob eine Domain per DANE abgesichert ist, kann man mittels verschiedenen Werkzeugen abfragen. Auf Rechnern, die mit dem DNS-Server BIND9 bestückt sind (erhältlich für Unix- und Windows-Plattformen von isc.org) kann man dafür das Kommandozeilentool dig einsetzen, beispielsweise so:
dig +dnssec +noall +answer +multi _25._tcp.mx1.bund.de TLSA
Zuvor erfragt man aus dem Domain Name System, unter welchen Namen die Mail-Server einer Domain zu erreichen sind, beispielsweise mit dem Befehl "host", also etwa "host bund.de". Mittels dig fragt man dann den TLSA-Record ab und blendet ihn ein.
Wer den SMTP-Server Postfix in aktueller Version 2.11 eingerichtet hat, kann mit dem Testprogramm posttls-finger noch einiges mehr in Erfahrung bringen, beispielsweise von wem das Zertifikat stammt, das der Domain-Betreiber einsetzt; Postfix muss fĂĽr diese Abfrageart mit TLS-Support kompiliert sein:
posttls-finger -t30 -T180 -c -L verbose,summary bund.de
Das Programm baut im obigen Beispiel eine TLS-abgesicherte Verbindung auf und blendet dann etliche Verbindungsparameter auf der Kommandozeile ein. Ganz am Schluss findet sich beispielsweise, dass der Mail-Server mx1.bund.de eine AES-Verschlüsselung mit einer Schlüssellänge von 256 Bit einsetzt.
Verified TLS connection established to mx1.bund.de
[77.87.224.163]:25: TLSv1 with cipher DHE-RSA-AES256-SHA
(256/256 bits)
(dz)