• Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • HOME
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
    • M365 Mail Security
  • SUPPORT
    • Knowledge Base
    • Forum
    • Schulungen
    • Supportanfrage
    • Software-Download
    • Ressourcen
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
  • UNTERNEHMEN
    • Team
    • Referenzen
    • Karriere
    • Kontakt
  • EVENTS
    • Events
    • Webcasts
  • BLOG
    • Blog
    • Newsletter
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Search
  • Menu Menu
Info Icon

Ist DANE tatsächlich ein Luftschloss?

News, Technik & Support

Ein Artikel auf Golem erweckt den Eindruck, dass DANE ein Luftschloss sei und schon vor dem Start gescheitert wäre. Der Autor bezieht sich dabei auf die verschiedenen Einschränkungen beim Einsatz zwischen Browser und WebServer im Rahmen einer HTTPS-Verbindung. Diese Probleme sind zwar nachvollziehbar aber nur ein Teilaspekt von DANE. DANE ist ein sicherer Weg, mit dem der Initiator einer Verbindung zu einer Gegenstelle sicherstellen kann, dass er wirklich das gewünschte Ziel mit dem korrekt ausgewiesenen Zertifikat erreicht hat. Sehr interessant ist der Einsatz von DANE dabei bei Verbindungen zwischen Maschinen, die nicht mit den Einschränkungen und Einflüssen eines Browsers, Clients oder Anwenders umgehen müssen. So kommunizieren beim „Internet der Dinge“ in den seltensten Fällen Menschen mit Maschinen. Am Beispiel der Mailübertragung per SMTP lässt sich der Vorteil von DANE sehr einfach erläutern.

Seit vielen Jahren können Mailserver Nachrichten per TLS auf dem Transport verschlüsseln. Die meisten Mailserver wie z.B. Exchange oder NoSpamProxy richten zu diesem Zweck während der Installation sogar ein selbst erzeugtes Zertifikat ein. Beim Versand einer E-Mail bietet der empfangende Server „STARTTLS“ an und der sendende Server kann die Verbindung verschlüsseln. Selbst ein nicht vertrauenswürdiges oder gar abgelaufenes Zertifikat beim Empfänger ist immer noch besser als ein Versand per Klartext. Die meisten Mailserver verfahren dabei genau so. Aber dieses Verhalten schützt nicht gegen „Man in the Middle“-Attacken, in denen ein Angreifer den „STARTTLS“-Befehl entweder komplett unterdrückt oder ein eigenes Zertifikat einschmuggelt. Hier kommt DANE ins Spiel. Der Administrator des empfangenden E-Mail-Servers veröffentlicht über entsprechende DNS-Einträge die Information, dass er nicht nur ein Zertifikat hat, sondern auch welches Zertifikat. Dazu wird der Fingerprint des PublicKeys verwendet, den der einliefernde Server zu erwarten hat. Damit diese Informationen unverfälscht bereitgestellt werden können, ist DNSSEC zwingend erforderlich. Zudem muss der absendende Mailserver natürlich einen eigenen DNSSEC-Resolver unterstützen. Das ist aber bei Mailservern ein überschaubarer Aufwand und nicht mit den Millionen PCs mit Anwendern und Browsern zu verwechseln.
So kann ein entsprechend ausgerüsteter Mailserver sicherstellen, bei einer Verbindung zu seinem Partner zum einen den richtigen Partner erreicht zu haben und zusätzlich eine verschlüsselte Verbindung erstellen zu können.
So wie absendende Server heute schon einen SPF-Record eintragen, ist es mit DNSSEC und DANE nur ein paar Klicks mehr um das verwendete Zertifikat bekannt zu machen. Das Zertifikat muss nicht einmal von einer „Trusted CA.“ ausgestellt sein, die in der Vergangenheit auch immer mal Zertifikate zu Unrecht ausgestellt habe. Der Empfänger muss nur ein eigenes Zertifikat installieren, per DNS veröffentlichen und bei ausgehenden Verbindungen das Zertifikat der Gegenseite überprüfen.
NoSpamProxy wird diese Technologie noch in diesem Jahr voll umfänglich unterstützen. Die Domäne nospamproxy.de ist heute schon mit DANE abgesichert, wie man dem folgenden Screenshot entnehmen kann:

nsp-dane2

  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 
15.07.2015/by Stefan Cink

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Knowledge Base

Knowledge Base

Hinweis: Die Informationen in dieser Knowledge Base gelten nur für NoSpamProxy bis Version 13.2. Sämtliche Informationen für NoSpamProxy 14 und höher finden Sie in der Online-Dokumentation.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • NoSpamProxy zum sechsten Mal E-Mail-Security-Champion PreviewNoSpamProxy wird zum sechsten Mal Champion in unabhängiger Nutzerbefragung für E-Mail-Security20.01.2023 - 09:30
  • Info IconJsonWebToken-Sicherheitslücke: Keine Gefahr für NoSpamProxy-Kunden11.01.2023 - 12:35
  • BGH-Urteil lieber keine Quarantaene Ordner PreviewBGH-Urteil bestätigt: Lieber keine Quarantäne-Ordner nutzen16.12.2022 - 10:58
IMPRESSUM • EULA • Datenschutzerklärung • © 2023 Net at Work GmbH
  • Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
Success Story: Attraktives Managed Service Provider Geschäft für Tec Netw...Tec NetworksInfo Icon.NET Framework 4.6 nicht installieren!
Scroll to top