Was ist TLSA bzw. DANE?
TLSA DNS-Einträge dienen dazu, die Authentizität von TLS/SSL-Zertifikaten überprüfbar zu machen und damit die Sicherheit der Kommunikation zu erhöhen.
Email mit Fehlermeldung zu ihren SPF, DKIM oder DMARC Einstellungen erhalten?
Hier ist eine Erklärung zu den Fehlercodes
Kontrollieren Sie ihre Einstellungen gemäss der Anleitung unten.
Wenn Sie Hilfe benötigen, so erstellen Sie bitte ein Ticket im Kundenportal.
Funktionsweise
Dazu wird ein Fingerabdruck des Mailserver TLS-/SSL-Zertifikats im DNS der Domain gespeichert.
Damit TLSA vertrauenswürdig ist, muss DNSSec aktiv sein. Dann entspricht dies den DANE (DNS-Based Authentication of Named Entities) Vorgaben für sichere Kommunikation
Ihre Mailserver sind bei uns mit TLSA gesichert und benutzen folgende Angaben:
- DANE-EE: Domain Issued Certificate
- Subject public key
- SHA-256-Hash
Beispiel:
_25._tcp.mail IN TLSA 3 1 1 3f7af589fbf8189569861626f88c1ff5628d383d80fdf290b192380309495b1f
- Portnummer, auf der der TLS-Server angesprochen werden, z.B. Port 25
- Verwendende Protokoll wie TCP, UDP oder andere
- Hostname (Domainname) des TLS-Servers
- Drei mit Leerzeichen getrennte Zahlen:
- TLSA Certificate Usage: Zahl zwischen 0 und 3
Certificate Usage sagt dem Client, ob eine Trust-Chain-Prüfung erfolgen soll oder nicht. Ist die Trust-Chain-Prüfung abgeschaltet, lassen sich selbst signierte Zertifikate einsetzen.
- TLSA Selector: Zahl 0 oder 1
Selector gibt Auskunft darüber, ob das gesamte Zertifikat gehashed wurde oder nur der Public Key.
- TLSA Matching Type: Zahl zwischen 0 und 2
Matching Type legt festgelegt ob kein Hash, ein SHA-256- oder ein SHA-512-Hash verwendet wird. - Der Hashwert selber
Beachten
Damit TLSA für ihren Mailserver automatisch aktiv ist, muss folgendes erfüllt sein:
- Domain und DNS-Management muss bei uns sein
- Der Mailserver muss bei uns laufen (mx.rhone.ch)
- DNSSec muss aktiv sein
- Auch ein DNS-Eintrag "Kein Mailserver" d.h. ein Eintrag "MX 0 ." muss DNSSec haben.
