Fragen und Antworten

Unterstützen die Mailserver DANE?

DANE (DNS-based Authentication of Named Entities) ist ein Verfahren, mit dem X.509-Zertifikate mit DNS-Einträgen verknüpft werden können, um eine sichere Transportwegverschlüsselung beispielsweise zwischen E-Mail-Servern zu garantieren. Zur Authentifizierung der dafür notwendingen DNS-Einträge setzt DANE die DNS-Security Extensions (DNSSEC) voraus. DNSSEC ist allerdings ein sehr umstrittenes Verfahren, das von vielen international bekannten E-Mail-Anbietern wie Google, Outlook, Facebook oder Apple nicht unterstützt wird. DANE wird bisher hauptsächlich von E-Mail-Anbietern aus dem deutschsprachigen Raum eingesetzt.

Wir nutzen DANE seit dem 22.02.2018 probeweise auf unseren Postausgangsservern (smtp.variomedia.de, smtp2.variomedia.de), jedoch nicht auf den Posteingangsservern (mail.variomedia.de) oder den Webservern.

Auf unseren Posteingangsservern können wir DANE nicht anbieten, da wir momentan kein DNSSEC unterstützen. Die Unterstützung für DNSSEC ist aufwändig in der Implementierung, da wir über 600 Top-Level-Domains von unterschiedlichen Registrierungsstellen anbieten, die nicht alle DNSSEC unterstützen. Weiterhin gibt es keine einheitliche Schnittstelle, um die für DNSSEC notwendingen Schlüssel bei den Registrierungsstellen zu hinterlegen. Ein weiteres Problem ist die Fehleranfälligkeit von DNSSEC: Falls beim Setzen oder Ändern eines DNSSEC-Schlüssels ein Fehler auftritt, kann eine Domain unter Umständen wegen ungültiger Schlüssel nicht mehr erreichbar sein.