Mail-Sicherheit: Domain-Anbieter dotplex nimmt DANE ins Programm

Inhaltsverzeichnis

Das Berliner Unternehmen dotplex hat sein Webhosting-Angebot um die DANE-Technik erweitert. Der offene Standard DANE gewährleistet nicht nur eine verschlüsselte Übertragung zwischen Mail-Servern, sondern stellt auch die Authentizität der beteiligten Mail-Server sicher. Die bisher per DANE abgesicherten Angebote von beispielsweise Posteo, Mailbox.org oder dem im Juni zur Gruppe hinzugestoßenen Mail.de sind allesamt noch in Eigenregie der jeweiligen Unternehmen entstanden.

Jan-Kaspar Münnich, Geschäftsführer von dotplex, sagte im Gespräch mit heise netze: "Als DANE Anfang des Jahres spezifiziert worden ist, war für uns klar, das wir ein Webhosting-Angebot machen wollten, das sich für Normalanwender eignet und anders als 'E-Mail made in Germany' auf einem offenen Standard beruht." Für Privatanwender, so Münnich, reichen die Angebote von zum Beispiel Posteo oder Mail.de allerdings vollkommen aus. "Wir haben daher ein Angebot für gewerbliche Kunden und kleine Unternehmen spezifiziert, also etwa für Arztpraxen oder Anwaltskanzleien, die Mails unter ihrer eigenen Domain-Adresse abgesichert übertragen wollen."

Zahl der DANE-Anbieter wächst

Der Schritt dürfte für Interessenten gerade passend kommen, denn manche Webhoster kommen ihren Kunden nicht einmal so weit entgegen, beim Betrieb mit deren eigenen Name-Servern die für DNSSEC erforderlichen Schlüssel an die zuständige übergeordnete Domain weiterzugeben. Trotz solcher Anfangsschwierigkeiten gibt es schon etliche Domains, die den Mail-Transport per DANE absichern. Auf der für DANE-Tests ebenfalls von Münnich eingerichteten Web-Seite tlsa.info sind über 20 zu finden und in den wenigen Tagen seit dem Start der Test-Seite sind stets neue hinzugekommen.

Wie DANE die TLS-Kommunikation absichert

Eine Verschlüsselung zwischen zwei Partnern ist zwar wichtig, um unerwünschtes Abhören zu verhindern, aber sie genügt nicht, denn die Partner können zunächst nicht feststellen, welchem Server ein Schlüssel tatsächlich zugeordnet ist. Eigentlich sollten SSL-Zertifikate als Beleg dafür dienen, dass ein Schlüssel einem bestimmten Server zugeordnet und somit auch vertrauenswürdig ist. Doch jede Zertifizierungsstelle der Welt kann für beliebige Server auf der Welt Zertifikate ausstellen. Ob ein SSL-Zertifikat nur technisch korrekt ist, oder auch tatsächlich einer vertrauenswürdigen Stelle entstammt, kann ein Server nicht nachprüfen.

DANE liefert nun eine Infrastruktur, mittels der sich die Authentizität eines Zertifikats zweifelsfrei ermitteln lässt. Dafür hinterlegt ein Mail-Anbieter den digitalen Fingerabdruck seines SSL-Zertifikats auf dem für die Domain zuständigen DNS-Server (siehe RFC-Spezifikation 6698). Der Fingerabdruck wird per DNSSEC kryptografisch gegen Manipulation im DNS-Server und auf dem Übertragungsweg zum anfragenden Client, respektive dessen DNS-Resolver abgesichert. Das DNSSEC stellt wiederum die Authentizität des zuständigen DNS-Servers sicher, der die DANE-Informationen ausliefert.

Plugins für Explorer, Firefox, Safari & Co

DANE eignet sich nicht nur zur Absicherung des Mail-Transports, sondern auch zur Absicherung von Browser-Zugriffen auf Web-Server. Ein erstes Plugin für diese Authentizitätsprüfung hat die tschechische Domainverwaltung CZ.NIC in Gestalt des DNSSEC/TLSA Validator herausgebracht. Es ist für diverse Browser und gängige Desktop-Betriebssysteme erhältlich.

Mail-Server, Mail-Programme und Browser, die sich auf DNSSEC und DANE stützen, haben damit eine abgesicherte, vertrauenswürdige Quelle für die Prüfung der Authentizität von Zertifikaten. Um diese Quelle zu manipulieren, müssten Angreifer gleich das gesamte DNSSEC unter ihre Kontrolle bringen, was Experten für extrem schwierig halten. Eine detaillierte Beschreibung der Funktionsweise der DANE-Technik finden Sie im kostenpflichtigen Beitrag "Geleitschutz", der in der c't-Ausgabe 11/2014 erschienen ist. (dz)