DANE im smtp-Client nutzen

classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

DANE im smtp-Client nutzen

Patrick Ben Koetter-2
Hallo,

wer mich kennt, weiß ich habe mir sicheren und vertraulichen Transport von
E-Mail auf die Fahnen geschrieben. Dazu habe ich u.a. vor ein paar Jahren an
DANE mit spezifiziert und Dank einiger unserer ISP-Kunden, die bereit waren
DANE zu implementieren, konnten wir bei sys4 dafür sorgen, dass DANE RFC
Standard wurde, weil es für ein RFC "rough consensus and running code"
<https://en.wikipedia.org/wiki/Rough_consensus> braucht und die
Implementierungen der "running code" waren.

Jetzt könnte man meinen alles wäre \o/ und alle Beteiligten reiten glücklich
grinsend in den Sonnenuntergang, weil DANE die Welt rettet. Ist aber nicht,
weil ich viele sagen höre für DANE bräuchte man DNSSEC und weil das aus
$GRÜNDEN schwierig ist, machen sie einen Bogen drum herum.

Das ist halb richtig und halb falsch und weil ich Sicherheit mit DANE all
denen, sie es nutzen können, ermöglichen möchte, ist es mir ein Bedürfnis
dieses "richtig/falsch" richtig zu stellen.

Richtig ist: Für DANE muss man seine Domain als DNSSEC-signierte Zone
ausliefern wenn man *anderen DANE anbietet*.

Richtig ist aber auch: Wenn man *als Sender DANE nutzen* möchte, muss man
überhaupt gar nichts an der eigenen Domain machen.

Die paar Handgriffe, die es dafür braucht, habe ich in „Outbound DANE in 15
Minuten einrichten“ auf
<https://blog.sys4.de/outbound-dane-mit-postfix-de.html> zusammengeschrieben.

Ich hoffe, der Eine oder die Andere wußte das noch nicht, haut jetzt in die
Tasten, um den Server für outbound DANE zu aktivieren, und reitet dann
grinsend in den Sonnenuntergang. ;-)

p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: DANE im smtp-Client nutzen

Christian Bricart
> [..]
> Die paar Handgriffe, die es dafür braucht, habe ich in „Outbound DANE
> in 15
> Minuten einrichten“ auf
> <https://blog.sys4.de/outbound-dane-mit-postfix-de.html>
> zusammengeschrieben.

danke für Deinen Einsatz!
vielleicht solltest du den Text noch mit bekannten Fallstricken und
deren Würgarounds ergänzen - wenn man z.B. weiterhin immer noch mit
DOT-mil [und einigen anderen Fail-]Domains kommunizieren will/muss ..
;-)

Christian - reitet da auch schon länger
Reply | Threaded
Open this post in threaded view
|

Re: DANE im smtp-Client nutzen

Patrick Ben Koetter-2
* Christian Bricart <[hidden email]>:

> > [..]
> > Die paar Handgriffe, die es dafür braucht, habe ich in „Outbound DANE in
> > 15
> > Minuten einrichten“ auf
> > <https://blog.sys4.de/outbound-dane-mit-postfix-de.html>
> > zusammengeschrieben.
>
> danke für Deinen Einsatz!
> vielleicht solltest du den Text noch mit bekannten Fallstricken und deren
> Würgarounds ergänzen - wenn man z.B. weiterhin immer noch mit DOT-mil [und
> einigen anderen Fail-]Domains kommunizieren will/muss .. ;-)

Gute Idee! Kurzfristig mal auf <https://danefail.org/> vorbeisehen. Ich
ergänze das dann noch im Artikel.

> Christian - reitet da auch schon länger

So muss das… ;-)

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: DANE im smtp-Client nutzen

Kai Fürstenberg
In reply to this post by Patrick Ben Koetter-2
Hallo Patrick,

Am 03.04.2019 um 22:08 schrieb Patrick Ben Koetter:
> Ich hoffe, der Eine oder die Andere wußte das noch nicht, haut jetzt in die
> Tasten, um den Server für outbound DANE zu aktivieren, und reitet dann
> grinsend in den Sonnenuntergang. ;-)

das ist ja mal ne richtig geile Anleitung!
Leicht zu verstehen und problemlos einzubauen.

Mein Vorteil war, dass die Resolver meines Rechenzentrumsbetreibers
bereits DNSSEC können, da brauch ich keinen eigenen.

Leider bietet der Betreiber aber kein DNSSEC für die bei ihm verwalteten
Zonen an und einen eigenen DNS möchte ich (noch) nicht aufbauen. Da muss
ich mir noch was überlegen ...

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

Re: DANE im smtp-Client nutzen

Patrick Ben Koetter-2
* Kai Fürstenberg <[hidden email]>:
> Hallo Patrick,
>
> Am 03.04.2019 um 22:08 schrieb Patrick Ben Koetter:
> > Ich hoffe, der Eine oder die Andere wußte das noch nicht, haut jetzt in die
> > Tasten, um den Server für outbound DANE zu aktivieren, und reitet dann
> > grinsend in den Sonnenuntergang. ;-)
>
> das ist ja mal ne richtig geile Anleitung!
> Leicht zu verstehen und problemlos einzubauen.

Danke.

> Mein Vorteil war, dass die Resolver meines Rechenzentrumsbetreibers
> bereits DNSSEC können, da brauch ich keinen eigenen.

Du *möchtest* vielleicht dennoch einen eigenen, lokalen Resolver nutzen, weil
Du dem am meisten vertrauen kannst. Da ist kein Netz dazwischen, wenn Du nach
DNSSEC fragst...

> Leider bietet der Betreiber aber kein DNSSEC für die bei ihm verwalteten
> Zonen an und einen eigenen DNS möchte ich (noch) nicht aufbauen. Da muss
> ich mir noch was überlegen ...

Es gibt sehr viele DNS-Provider, die DNSSEC anbieten. Dem DENIC sind als
Genossenschaft die Hände gebunden, einzelne Genossen in den Vordergrund zu
spielen. Heise hat eine Liste von DNS-Providern, die DNSSEC bieten. Generell
findest Du zu DNSSEC was hier: https://www.heise.de/thema/DNSSEC

Eine Liste von DNS(SEC)-Hostern bietet dieser Link:
https://www.heise.de/ct/artikel/Hoster-und-Registrare-mit-DNSSEC-Diensten-2643530.html

HTH

p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein