• Rss
  • LinkedIn
  • Twitter
  • Youtube
  • Xing
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
+49 5251 304-800
NoSpamProxy
  • HOME
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
    • Referenzen
  • SUPPORT
    • Knowledge Base
    • Forum
    • Schulungen
    • Supportanfrage
    • Software-Download
    • Ressourcen
  • PARTNER
    • Partnerportal
    • Partner werden
    • Partner finden
  • UNTERNEHMEN
    • Team
    • Karriere
    • Kontakt
  • EVENTS
    • Veranstaltungen
    • Webcasts
  • BLOG
    • Blog
    • Newsletter
  • KOSTENFREI TESTEN
    • Angebot anfordern
    • Kostenfrei testen
  • Deutsch
    • English
  • Search
  • Menu Menu
Icon Makefg

Ist DANE tatsächlich ein Luftschloss?

News, Technik & Support

Ein Artikel auf Golem erweckt den Eindruck, dass DANE ein Luftschloss sei und schon vor dem Start gescheitert wäre. Der Autor bezieht sich dabei auf die verschiedenen Einschränkungen beim Einsatz zwischen Browser und WebServer im Rahmen einer HTTPS-Verbindung. Diese Probleme sind zwar nachvollziehbar aber nur ein Teilaspekt von DANE. DANE ist ein sicherer Weg, mit dem der Initiator einer Verbindung zu einer Gegenstelle sicherstellen kann, dass er wirklich das gewünschte Ziel mit dem korrekt ausgewiesenen Zertifikat erreicht hat. Sehr interessant ist der Einsatz

von DANE dabei bei Verbindungen zwischen Maschinen, die nicht mit den Einschränkungen und Einflüssen eines Browsers, Clients oder Anwenders umgehen müssen. So kommunizieren beim „Internet der Dinge“ in den seltensten Fällen Menschen mit Maschinen. Am Beispiel der Mailübertragung per SMTP lässt sich der Vorteil von DANE sehr einfach erläutern.

Seit vielen Jahren können Mailserver Nachrichten per TLS auf dem Transport verschlüsseln. Die meisten Mailserver wie z.B. Exchange oder NoSpamProxy richten zu diesem Zweck während der Installation sogar ein selbst erzeugtes Zertifikat ein. Beim Versand einer E-Mail bietet der empfangende Server „STARTTLS“ an und der sendende Server kann die Verbindung verschlüsseln. Selbst ein nicht vertrauenswürdiges oder gar abgelaufenes Zertifikat beim Empfänger ist immer noch besser als ein Versand per Klartext. Die meisten Mailserver verfahren dabei genau so. Aber dieses Verhalten schützt nicht gegen „Man in the Middle“-Attacken, in denen ein Angreifer den „STARTTLS“-Befehl entweder komplett unterdrückt oder ein eigenes Zertifikat einschmuggelt. Hier kommt DANE ins Spiel. Der Administrator des empfangenden E-Mail-Servers veröffentlicht über entsprechende DNS-Einträge die Information, dass er nicht nur ein Zertifikat hat, sondern auch welches Zertifikat. Dazu wird der Fingerprint des PublicKeys verwendet, den der einliefernde Server zu erwarten hat. Damit diese Informationen unverfälscht bereitgestellt werden können, ist DNSSEC zwingend erforderlich. Zudem muss der absendende Mailserver natürlich einen eigenen DNSSEC-Resolver unterstützen. Das ist aber bei Mailservern ein überschaubarer Aufwand und nicht mit den Millionen PCs mit Anwendern und Browsern zu verwechseln.
So kann ein entsprechend ausgerüsteter Mailserver sicherstellen, bei einer Verbindung zu seinem Partner zum einen den richtigen Partner erreicht zu haben und zusätzlich eine verschlüsselte Verbindung erstellen zu können.
So wie absendende Server heute schon einen SPF-Record eintragen, ist es mit DNSSEC und DANE nur ein paar Klicks mehr um das verwendete Zertifikat bekannt zu machen. Das Zertifikat muss nicht einmal von einer „Trusted CA.“ ausgestellt sein, die in der Vergangenheit auch immer mal Zertifikate zu Unrecht ausgestellt habe. Der Empfänger muss nur ein eigenes Zertifikat installieren, per DNS veröffentlichen und bei ausgehenden Verbindungen das Zertifikat der Gegenseite überprüfen.
NoSpamProxy wird diese Technologie noch in diesem Jahr voll umfänglich unterstützen. Die Domäne nospamproxy.de ist heute schon mit DANE abgesichert, wie man dem folgenden Screenshot entnehmen kann:

nsp-dane2

  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 
15.07.2015/by Stefan Cink

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • Heimdall

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates

Knowledge Base

Knowledge Base

Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de
NoSpamProxy-Newsletter
Jetzt kostenfrei abonnieren!
Followon TwitterSubscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Angebot anfordern
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Authenticated Received Chain ARC PreviewAbsenderreputation und E-Mail-Sicherheit – Teil 2: Sender Policy Framework (SPF)26.03.2021 - 09:00
  • Roadshow Champion Tour 2021 PrevRoadshow “Champion-Tour” 202119.03.2021 - 10:00
  • NoSpamProxy Update BannerDringend empfohlenes Update auf aktuelle Fast Channel Version16.03.2021 - 17:51
IMPRESSUM  • EULA • Datenschutzerklärung • © 2021 Net at Work GmbH
  • Rss
  • LinkedIn
  • Twitter
  • Youtube
  • Xing
Success Story: Attraktives Managed Service Provider Geschäft für Tec Netw... E-Mail Security als Managed Service von Tec Networks Icon Makefg .NET Framework 4.6 nicht installieren!
Scroll to top