Verschlüsselter Mail-Transport: Neue DANE-Testseite hilft beim Aufsetzen
Die Absicherung des Mail-Transports per DANE-Technik ist zwar an vielen Stellen dokumentiert, aber dennoch kommen fehlerhaft eingerichtete Mail-Server vor. Nun geht ein Webservice an den Start, der jeden einzelnen Kommunikationsschritt prüft.
Seit die DANE-Technik, die den Mail-Transport zwischen SMTP-Servern absichert, im SMTP-Server Postfix Einzug hielt und Anfang 2014 standardisiert wurde, ist eine Menge passiert. Posteo und Mailbox.org lieferten sich ein Kopf-an-Kopf-Rennen, um sie als erster Mail-Provider in Produktivsystemen einzusetzen und danach folgten weitere Anbieter. Einige Wochen später hatte der Berliner Provider dotplex mit tlsa.info eine sehr praktische Web-Seite aufgesetzt, die eine Vorstellung von der Verbreitung der Technik verschafft. Inzwischen führt tlsa.info hunderte von Domains auf, die DANE zur Absicherung des Mail-Transports einsetzen und noch viele mehr, die lediglich das zugrundeliegende DNSSEC verwenden.
Dotplex gehört auch zu den ersten Webhostern, die DANE in ihr Domain-Angebot aufgenommen haben, so dass Kunden weder das zugrundeliegende DNSSEC noch DANE selbst administrieren müssen. Aber Nutzern, die ihre Domain selbst verwalten, ist damit natürlich nicht geholfen. Solchen Admins will nun das Münchener Unternehmen sys4 mit einer eigenen Test-Seite Handreichungen liefern. An der Entwicklung des Prüfdienstes ist unter anderem Viktor Dukhovni beteiligt, der am Postfix-SMTP mitarbeitet.
Wer sich für die zugrundeliegende Technik interessiert, wird vermutlich alle aktuellen Prüfdienste nützlich finden, also tlsa.info, SSL-Tools oder auch das HAD secure email project des NIST und andere. Anders als bisherige Test-Seiten prüft der DANE-SMTP-Validator sämtliche Schritte des Mail-Transports, unterteilt die Prüfungen in die drei Abschnitte DNSSEC, TLSA und SMTP und liefert an jeder der drei Stellen gegebenenfalls eine Fehlermeldung, sodass sich die Ursache leichter einkreisen lässt.
Simulierter Mail-Transport
Der DANE-SMTP-Validator prüft unter anderem, ob SSL-Zertifikate gemäß dem aktuellen RFC eingesetzt werden und checkt auch die gesamte Zertifikatskette anhand der im DNS hinterlegten TLSA-Records. Dafür verbindet sich ein eigens aufgesetzter Prüf-Server mit dem SMTP-Server des zu testenden Systems. Darüber hinaus gibt es noch diverse weitere Unterschiede zu den bisherigen DANE-Testseiten. Beispielsweise werden Server, die mit DANE-EE-Zertifikaten arbeiten als korrekt klassifiziert.
Bei diesem Zertifikatstyp muss der Kommunikationspartner den eingetragenen Hostnamen und die Gültigkeit ignorieren und nur die Prüfsumme zur Validierung heranziehen. Diese sogenannten Domain-issued Certificates heben die Bindung an Host- und Domainnamen absichtlich auf, damit sie beim Virtual Hosting eingesetzt werden können. Auch werden SMTP-Server nicht automatisch schlecht bewertet, wenn sie aus Gründen der Abwärtskompatibilität ältere Kryptografieverfahren zusätzlich zu aktuellen erlauben.
Derzeit läuft die öffentliche Beta-Testphase, der Regelbetrieb soll in einigen Tagen starten. Der Anbieter will den DANE SMTP Validator künftig erweitern und später auch Überwachungsfunktionen sowie einen Offline-Validator implementieren. Damit sollen Admins ihre Konfiguration testen können, ohne sie bereits für den Online-Betrieb scharfschalten zu müssen.
Was DANE leistet
Die SMTP-Kommunikation ist ursprünglich so ausgelegt worden, dass die beteiligten Server auf Wunsch immerhin verschlüsseln können. Zusätzlich sollten SSL-Zertifikate belegen, dass ein Schlüssel einem bestimmten Server zugeordnet und somit auch vertrauenswürdig ist. Doch bei diesem Konzept wurde außer Acht gelassen, dass jede Zertifizierungsstelle der Welt für beliebige Server auf der Welt Zertifikate ausstellen kann. Ob ein SSL-Zertifikat nur technisch korrekt ist oder auch tatsächlich einer vertrauenswürdigen Stelle entstammt, kann ein Server also nicht nachprüfen.
Dafür liefert DANE eine Infrastruktur, mittels der ein SMTP-Client zweifelsfrei ermitteln kann, ob ein SSL-Zertifikat zum angesprochenen Server gehört und ob es vertrauenswürdig ist. Dafür deponiert ein Mail-Anbieter den digitalen Fingerabdruck seines SSL-Zertifikats auf dem für die Domain zuständigen DNS-Server (siehe RFC-Spezifikation 6698). Der Fingerabdruck wird per DNSSEC kryptografisch gegen Manipulation im DNS-Server und auf dem Übertragungsweg zum anfragenden Client, respektive dessen DNS-Resolver abgesichert. Das DNSSEC stellt wiederum die Authentizität des zuständigen DNS-Servers sicher, der die DANE-Informationen ausliefert.
Ein Angreifer, der ein technisch korrektes Zertifikat beispielsweise über einen Angriff auf eine Zertifizierungsstelle erzeugt, müsste nach Meinung von Fachleuten das gesamte DNS manipulieren, um es einem angegriffenen SMTP unterjubeln zu können. Technisch ist das sicherlich denkbar, in der Praxis aber nur sehr schwer vorstellbar. (dz)
