DANE eingehend
Eingehendes DANE-verifiziertes Empfangen von Emails ist insofern etwas schwieriger einzurichten, als hier ein validierender autoritativer Nameserver benötigt wird, um anfragenden Mailservern, die Mail an unseren TLS-verschlüsselt und mit DANE verifiziert versenden wollen, einen authentischen TSLA-Eintrag liefern zu können.
Es wird also zum DANE-verifizierten Empfang von Emails folgendes benötigt
- autoritativer DNSSEC-authentizierter Nameserver
- MTA muss nur TLS-fähig sein
- TLSA-Eintrag auf dem autoritativen Nameserver
Die DANE-Verifizierung erfolgt auf dem sendenden Mailserver, der empfangende MTA muss also nicht DANE-fähig sein. Werden aber Empfang und Versand durch denselben MTA abgewickelt, und soll letztendlich auch eingehende Email DANE-verifiziert werden, sollte er das schon sein.
Die Einrichtung eines validierenden autoritativen Nameserver wurde schon anhand von BIND 9.9 im Wiki beschrieben.
Der sendende MTA benutzt einen validierenden Resolver, um den TLSA-Eintrag aus unserem autoritativen Nameserver abzufragen. Anhand des AD-Flags, das er von seinem Resolver in der Antwort erhält, kann er die Antwort als DNSSEC-authentiziert betrachten.
Den Fingerprint des TLSA-RR vergleicht er mit dem vom Mailserver per STARTTLS empfangenen Zertifikats. Je nach Selector im TLSA-RR muss dieser mit dem
- Fingerprint des Zertifikats
- Fingerprint des Public keys, mit dem das Zertifikat signiert wurde
- vollständigen Zertifikat
- vollständigen Public key
übereinstimmen. Kann der sendende MTA die Übereinstimmung feststellen, kann er die TLS-gesicherte Verbindung als DANE-verifiziert betrachten.
Da die DANE-Verifizierung auf dem sendenden Mailserver durchgeführt wird, ist es auf dem eigenen, empfangenden MTA nicht möglich, festzustellen, welchen eingehenden TLS-Verbindungen beim Mailempfang DANE-verifiziert sind. Man kann dazu aber Online-Dienste benutzen, z.B. SSL-Tools.net.
Howtos
Die Konfiguration der DANE-Verifizierung für eingehenden Mailverkehr wird anhand von Postfix gezeigt.