Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Geleitschutz: DANE verbessert sicheren Transport zwischen Mailservern

Seite 4: Selbstsignierte Zertifikate ausdrücklich erlaubt

Inhaltsverzeichnis
Verderbliche Ware
Mehr Infos

DANE ist nicht PGP

Um ein Missverständnis auszuschließen: Auch mit DANE lagern Ihre E-Mails unverschlüsselt auf den Servern der Provider. Und auf die Provider-Server haben nicht nur deren Administratoren, sondern mittelbar auch Ermittlungsbehörden Zugriff. Den gibt es zwar nur mit einem Gerichtsbeschluss, aber der darf bei Gefahr im Verzug auch innerhalb von drei Werktagen nachgeholt werden. Im Zweifel müssen die Admins Ihre Nachrichten also erstmal rausrücken.

Wenn Sie also sichergehen wollen, dass Ihre Mail unverfälscht und vor fremden Augen geschützt beim richtigen Empfänger ankommt, müssen Sie sie nach wie vor schon auf Ihrem PC mit PGP oder S/MIME verschlüsseln. Wie man die Techniken einsetzt, erklären beipielsweise die beiden Artikel "Privatsache E-Mail" (kostenpflichtiger Download) und "Autonomes Verschlüsseln" (kostenpflichtiger Download). Ist der PC frei von Trojanern oder anderer Malware, dann geht ein nach heutigem Wissen nicht knackbares Chiffrat auf den zusätzlich mit TLS gesicherten Weg.

Dieser verifizierte Transport per TLS funktioniert freilich nur, wenn für alle Mailserver auf dem Weg vom Absender bis zum Empfänger TLSA-Records existieren. Ähnlich wie bei der Kühlkette vom Hersteller bis in den Supermarkt kann die Ware unbemerkt verderben, wenn auch nur eine Zwischenstelle patzt. Denn dann müssen die Kommunikationspartner auf ungeprüftes TLS zurückfallen oder gar unverschlüsselt kommunizieren.

Das Mailserver-Programm Postfix eignet sich für DANE bereits seit Anfang 2014 (ab der Version 2.11). Es gilt als Referenzimplementierung.

Validieren in Postfix

Damit beim Ausliefern einer Mail seine Gegenstelle per DANE und DNSSEC selbsttätig authentisiert, genügen zwei einfache Änderungen in der Haupt-Konfigurationsdatei main.cf:

smtp_dns_support_level = dnssec
smtp_tls_security_level = dane

smtp_tls_loglevel = 1

Auch beim Mailserver Exim ist die Implementierung mittlerweile weit fortgeschritten. Als weitere Zutaten brauchen Admins eine DNS-Domain mit DNSSEC-signierter Zone und einen passenden TLSA-Record für den Mailserver, einen lokalen, DNSSEC-fähigen DNS-Resolver und TLS-Zertifikate für die Server.

DNSSEC ist zwar schon seit Langem verfügbar, hat aber bisher in Deutschland keine weite Verbreitung gefunden. Das könnte sich mit DANE als Killerapplikation ändern. Dann können die vier Provider der E-Mail-made-in-Germany-Gruppe nicht nur untereinander, sondern auch mit dem Rest der Welt sicher und identifiziert kommunizieren. (dz)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten