Security: Wie Microsoft den Mailtransport mit DANE schützt

Inhaltsverzeichnis

Ende Oktober 2024 kündigte Microsoft an, seine Mailserver nun definitiv mit der aufwendigen, aber bewährten DANE-Technik aufzurüsten. Ursprünglich sollte das schon 2021 passieren. DANE nutzt das Domain Name System (DNS), um sicherheitskritische Elemente automatisch zu verteilen und die zur Verschlüsselung erforderlichen TLS-Zertifikate zu authentisieren. Die Technik hat die Internet Engineering Task Force (IETF) 2012 unter dem Titel "DNS-Based Authentication of Named Entities" standardisiert (RFC-Dokumente 6698 und RFC 7671).

Die Verzögerung ist zwar beträchtlich, aber den Schritt kann man nur begrüßen; DANE hat sich als bisher einzige Methode für den Schutz des Mailtransports durchgängig bewährt und wird vor allem von Kunden aus dem professionellen Umfeld verlangt.

Im Prinzip kann jeder moderne Mailserver (SMTP-Server) seinen Verkehr verschlüsseln. Dazu verwendet er wie viele andere Server die Technik Transport Layer Security (TLS). Doch falls die Aushandlung fehlschlägt, sendet er stillschweigend im Klartext, sodass Angreifer und Spione zumindest Metadaten der Mails abgreifen können. Hat der Mailabsender den Inhalt seiner Mail nicht mittels einer eigenen Methode verschlüsselt (PGP, SMIME o. ä.), lässt sich eine mitgeschnittene Mail komplett lesen, inklusive etwaiger Geschäftsgeheimnisse oder privater Dinge. Zudem kann TLS die Authentizität der Zertifikate nicht gewährleisten, sodass Angreifer Mails auf Server mit technisch korrekten, aber unechten TLS-Zertifikaten umleiten können.

Das war die Leseprobe unseres heise-Plus-Artikels "Security: Wie Microsoft den Mailtransport mit DANE schützt". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.