Outbound DANE in 15 Minuten einrichten

DANE gesicherter Versand von E-Mail ist mit wenigen Handgriffen eingerichtet. Anders als viele vermuten, ist es dafür nicht notwendig die eigene Domain mit DNSSEC abzusichern. Dieser Artikel zeigt wie Postfix durch Verändern von nur zwei Optionen so konfiguriert werden kann, dass er beim Versand immer dann DANE nutzt, wenn die …

Continue reading

MTA-STS bei sys4

MTA-STS ist ein Internet Standard (RFC 8461), der hilft den Versand von Mail über fremde Leitungen (Internet) abzusichern. Eine Domäne kann eine Policy für den Einsaz von TLS auf den Mailservern veröffentlichen. Absender können anhand der Policy feststellen, wie sich sich verhalten sollen, wenn der geordnete Aufbau einer TLS Verbindung …

Continue reading

PGP-Schlüssel einfach und sicher verteilen

Bemerkung

2015-05-14 Anpassung des Textes an die dritte Version des Internet Drafts (draft-ietf-dane-openpgpkey-03)

"PGP ist kaputt!" So kann man das Editorial und den Artikel Die Schlüssel-Falle, Gefälschte PGP-Keys im Umlauf von Jürgen Schmidt (c't) in einem Satz zusammenfassen. Die Kritik ist berechtigt. Die Schlüsselverteilung ist eine Schwachstelle im PGP-System. PGP …

Continue reading

Einen TLSA-Record für DANE mit BIND 9 publizieren

DANE-Sicherheit ist derzeit in aller Munde. Mittels DANE (DNS[SEC]-based Authentiction of Named Entities) können SSL/TLS-Zertifikate abgesichert werden. In diesem Artikel geht es um die DNS-Server-Seite von DANE, das Publizieren eines TLSA-Records.

Bemerkung

Patrick hat in DNSSEC für Mailserver richtig einrichten die Client-Seite der DNSSEC-Einrichtung beschrieben.

DANE funktioniert …

Continue reading

DNSSEC für Mailserver richtig einrichten

E-Mail ohne DNS ist kaum vorstellbar. Nahezu alle E-Mail-Routing-Entscheidungen basieren auf Informationen, die der Mailserver durch DNS-Abfragen erlangt hat. Umso erstaunlicher ist, dass viele gerade bei der DNS-Abfrage keinen besonderen Wert darauf legen, mit Sicherheit vertrauenswürdige Routing-Informationen zu erhalten. Was ist, wenn ein Angreifer per MITM-Attacke das DNS fälscht und …

Continue reading

DNS-Fragment-Angriffe – Zeit für DNSSEC

DNS-Fragment-Angriffe

Der ein oder andere erinnert sich vielleicht noch an den Sommer 2008 – in DNS-Fachkreisen auch als "Summer of Fear" bekannt. Der Sicherheitsexperte Dan Kaminski hatte eine erschreckende Sicherheitslücke im Domain Name System (DNS) gefunden: mittels eines statistischen Effekts und klug gewählter DNS-Antwort-Pakete war es Angreifern möglich, innerhalb sehr kurzer …

Continue reading