DANE verhindert E-Mail

Praxis & Tipps | Tipps & Tricks

In den Beispielkonfigurationen zum Transitschutz (c’t 18/14, S. 162) schließen Sie alle schwachen Chiffren aus. Wenn keine gemeinsame Chiffre gefunden werden kann, bedeutet das für die Übertragung von E-Mails in den meisten Fällen den Rückfall auf den unverschlüsselten Transport. Mir ist eine mit 3DES verschlüsselt gesendete Mail aber immer noch lieber als eine, die im Klartext durch das Internet gewandert ist. Schlimmer noch, es gibt Mailserver, die den Fallback auf unverschlüsselt nicht beherrschen. Dann können die Mails gar nicht übertragen werden.

Ob die Transportsicherheit oder die Zuverlässigkeit wichtiger ist, entscheidet der Betreiber des sendenden Mail-Servers. Mit einem DANE-TLSA-Record signalisiert der Betreiber des empfangenden Servers, dass Verschlüsselung genutzt werden soll. Ein Rückfall auf eine unverschlüsselte Übertragung sollte dann ausgeschlossen sein. Die Frage ist also: stark oder schwach verschlüsseln. Leider lassen sich meines Wissens im Postfix noch keine unterschiedlichen Cipher-Listen für die Fälle „DANE-authentisiert = immer verschlüsseln“ und „kein DANE = opportunistische Verschlüsselung“ konfigurieren. (Carsten Strotmann/ea)

Artikel kostenlos herunterladen