Inhalt: Wenn die Verbindungen zum Mailserver mit einem SSL/TLS-Zertifikat gesichert sind, können Sie sie gegen Downgrade- und Man-in-the-Middle-Angriffe schützen, indem Sie das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) aktivieren. DANE schützt auch vor Website-Identitätsdiebstahl, der auf die Kompromittierung von Zertifizierungsstellen zurückzuführen ist.

In diesem Artikel erfahren Sie, wie Sie Verbindungen zum Server mithilfe von DANE sicherer machen. Als Beispiel ziehen wir dazu SMTP heran. Bitte beachten Sie, dass dieser Artikel nicht dazu dient, umfassende Informationen zu DANE und TLSA-DNS-Einträgen bereitzustellen.

Voraussetzungen

Bevor Sie die Sicherheit von SMTP-Verbindungen mithilfe von DANE für eine einzelne Domain erhöhen können, sind folgende Schritte notwendig:

Sichern von SMTP-Serververbindungen

Sobald DNSSEC für eine Domain aktiviert ist, können Sie fortfahren. Sie können Verbindungen über jedes Anwendungsprotokoll, das bereits mit einem SSL/TLS-Zertifikat gesichert ist, über die entsprechende Kombination von Transportprotokoll und Port schützen (z. B. „TCP/25“ für SMTP, „TCP/443“ für HTTPS usw.).

Um Verbindungen über ein bestimmtes Anwendungsprotokoll sicherer zu machen, sind zwei Schritte erforderlich:

  • Zunächst müssen Sie einen Hash für den öffentlichen Schlüssel des SSL/TLS-Zertifikats generieren. Sie können zwar auch den ungehashten öffentlichen Schlüssel oder den Hash des gesamten Zertifikats verwenden, aber in diesem Beispiel verwenden wir einen Hash des öffentlichen Schlüssels.
  • Dann müssen Sie einen TLSA-DNS-Eintrag hinzufügen und eine Reihe von notwendigen Parametern, einschließlich des Hashes, angeben.

Sie müssen die Schritte oben für jedes Anwendungsprotokoll wiederholen, das Sie zusätzlich schützen möchten.

Im folgenden Beispiel werden die Schritte zum Stärken von SMTP-Verbindungen zum Mailserver für eine einzelne Domain beschrieben. Diese Schritte können auch zum Schutz anderer Verbindungen eingesetzt werden.

Bemerkung: Im folgenden Beispiel verwenden wir den SHA-256-Hash des öffentlichen Schlüssels des SSL/TLS-Zertifikats und nicht das gesamte Zertifikat. So müssen Sie den TLSA-Eintrag bei der Erneuerung des Zertifikats nicht aktualisieren, es sei denn, der öffentliche Schlüssel ändert sich ebenfalls.

Hashwert für den öffentlichen Schlüssel des Zertifikats erstellen

  1. Melden Sie sich in Plesk an.

  2. Gehen Sie zu Websites & Domains und suchen Sie die entsprechende Domain.

  3. Klicken Sie auf SSL/TLS-Zertifikate.

  4. Suchen Sie das Zertifikat, mit dem der Mailserver geschützt wird (mit „Schützt E-Mails“ markiert). Klicken Sie auf das Symbol download, um das Zertifikat als *.pem-Datei herunterzuladen.

  5. Legen Sie die Datei mit der Endung *.pem auf einem Linux-Rechner ab und führen Sie den folgenden Befehl aus (ändern Sie zuvor das Arbeitsverzeichnis in das Verzeichnis, in dem sich die Datei befindet, und ersetzen Sie „certificate.pem“ durch den tatsächlichen Dateinamen):

    openssl x509 -in certificate.pem -pubkey -noout | openssl rsa -pubin -outform der | sha256sum | awk '{print $1}'

Das Ergebnis (zum Beispiel 499e42e36d7b04529725a1f8036e0f7cf1030b4e25a3fa1988f2572e1ce70d28) ist der SHA-256-Hash, den Sie bei der Erstellung des TLSA-DNS-Eintrags verwenden.

TLSA-DNS-Eintrag hinzufügen

  1. Melden Sie sich in Plesk an.
  2. Gehen Sie zu Websites & Domains und suchen Sie die entsprechende Domain.
  3. Gehen Sie zum Tab Hosting & DNS und klicken Sie auf DNS.
  4. Klicken Sie auf Eintrag hinzufügen.
  5. Wählen Sie „TLSA“ im Drop-down-Menü „Eintragstyp“ aus.
  6. (Optional) Geben Sie eine TTL für den Eintrag an. Wenn Sie sich nicht sicher sind, was die optimale TTL ist, lassen Sie das Feld „TTL“ leer. In diesem Fall wird der Standardwert verwendet.
  7. Geben Sie den Port „25“ an. Verwenden Sie keinen Unterstrich. Er wird automatisch hinzugefügt.
  8. Geben Sie als Protokoll „tcp“ an. Verwenden Sie keinen Unterstrich. Er wird automatisch hinzugefügt.
  9. Geben Sie „mail“ in das Feld „Domainname“ ein.
  10. Wählen Sie „3, DANE-EE“ im Drop-down-Menü „Verwendung“ aus.
  11. Wählen Sie „1, SPKI“ im Drop-down-Menü „Selektor“ aus.
  12. Wählen Sie „1, SHA-256“ im Drop-down-Menü „Zuordnungsart“ aus.
  13. Fügen Sie den zuvor erstellten Hash für den öffentlichen Schlüssel des Zertifikats in das Feld „Daten der Zertifikatszuordnung“ ein.
  14. Klicken Sie auf OK und dann auf Aktualisieren, um die Änderungen der DNS-Zone zu übernehmen.

Ein TLSA-DNS-Eintrag wird hinzugefügt und die Änderungen der DNS-Zone werden angewendet. Sobald die DNS-Änderungen übernommen wurden (dies dauert in der Regel etwa 24 Stunden), ist DANE für SMTP-Verbindungen zur Domain aktiv.