DNSSEC unverzichtbar bei Mailbox.org mit eigener Domain?

Sicherheit
1

Hallo liebe Community,

aufgrund von Smartphone-Wechsel wollte ich mich endlich mal von meinem „gratis“ Mailanbieter verabschieden und habe mir einen Account bei Mailbox.org geklickt. Nicht zuletzt natürlich aufgrund des schönen Blog von Kuketz dazu.

Nun möchte ich das Ganze gleich mit eigener Domain betreiben und lerne gerade dazu. Als Laie mit großem Technikinteresse sehe ich das ganze aber auch ein wenig als Bildungsprojekt.

Nun bin ich aber bei einer Frage angelangt, wo ich nicht ganz sicher bin, wie ich weitermachen soll…

Ich habe mir eine Domain gekauft, ohne vorher wirklich zu wissen, worauf ich achten solllte. Und wer billig kauft, kauft immer Zweimal. Mein Registrar unterstützt nämlich leider kein DNSsec für diese TLD.

Ich bin jetzt soweit, dass technisch alles funktioniert. Also Mailbox.org versendet und empfängt mit eigener Domain. Außerdem ist SPF, DKIM und DMARC auch eingerichtet und funktioniert.

Wenn ich nun über https://mecsa.jrc.ec.europa.eu/ die Funktionalität checke erhalte ich nicht alle Sternen, da mir das DNSsec fehlt.

Nun zu meiner Frage, was ergibt an dieser Stelle am meisten Sinn?

  • Ist DNSsec ein Must Have und sollte für einen sicheren Betrieb unbedingt aktiv sein?
  • Hat DNSsec vielleicht auch Nachteile, wie schlechtere Kompatibiltät, Email Unzustellbarkeiten etc.?
  • Würdet ihr den Registrar aufgrund dessen noch einmal wechseln?

Ich habe beispielsweise gesehen, dass INWX DNSsec mit meiner TLD unterstützt. Das wären zwar 10 Euro mehr im Jahr. Aber daran soll es am Ende jetzt auch nicht scheitern.

Alternativ könnte ich das Ganze ein Jahr laufen lassen und dann vielleicht wechseln?

Würde mich über etwas Praxis-Nahen Input freuen. Bin halt noch ziemlich Anfäger in der ganzen Thematik.

Screenshot 2024-05-12 234614
Screenshot 2024-05-12 2346141159×134 4.1 KB

2

Vorweg, ich bin in dem Thema kein Experte. Ich kann dir nur soweit sagen, dass ich auch alle Häkchen bei dem Mescatest mit einer eigenen Domain (gehostet bei Febas.de) bei mailbox.org bekommen habe, obwohl Febas kein DNSsec anbietet. Dazu habe ich mich beim DNSdienst desec.io angemeldet und bei Febas Bescheid gesagt, damit sie das entsprechend eintragen.

Bei hosting.de und udmedia.de bieten sie DNSsec nativ ohne Aufpreis an.

Das Forumsmitglied @Joachim scheint hier aber Experte zu sein und es gibt mehrere Beiträge in denen über DNSsec diskutiert wird.
https://www.kuketz-forum.de/t/mta-sts-konfiguration/7842/1
https://www.kuketz-forum.de/t/ist-secure-mailbox-org-wirklich-secure/6287
https://www.kuketz-forum.de/t/anonymitaet-verschiedener-domains/6837/10
https://www.kuketz-forum.de/t/die-echtheit-einer-website-mit-dnssec-erkennen/6891

Und die Webseite von Joachim, https://blog.lindenberg.one/EmailSicherheitsTest

Ich für mich habe abgespeichert, dass Dane/DNSsec und MTA-STS für den Emailverkehr wünschenswert ist

3

Ich hab vor kurzem erst einmal ganz viele mailanbieter verglichen, also preis und Funktionen und bin bei Namecheap gelandet, die bieten DNSSEC 4 free mit an.

4

Zitat Wikipedia:

Informationen werden bei DNS in Resource Records (RR) bereitgestellt. DNSSEC sichert die Authentizität dieser Informationen durch eine digitale Signatur ab. Besitzer einer DNS-Information ist derjenige Master-Server, der für die Zone, in der die Information liegt, autoritativ ist. Für jede abzusichernde Zone wird ein eigener Zonenschlüssel (engl.: zone signing key ) (ein Paar, bestehend aus öffentlichem und privatem Schlüssel) generiert. […]

Wenn möglich, würde ich DNSSEC aktivieren, da es gegen Cache Poisoning helfen kann. Ob es jetzt ein „Must-Have“ ist? Da wirst du vermutlich ganz unterschiedliche Antworten bekommen. Mit meiner Domain bei mailbox.org erreiche ich folgende Werte:

Bildschirmfoto_2024-05-13_10-18-36
Bildschirmfoto_2024-05-13_10-18-361452×501 34.5 KB

5

Ich hatte meine Domäne ursprünglich auch bei Ionos, hab fünf Jahre lang immer wieder versucht DNSSEC zu bekommen - wollen die nicht. Hab dann andere Registrare gefragt ob sie für diese TLD DNSSEC machen und bin für .one zu Namecheap, für .de und .eu konnte 1fire die notwendigen Records für DNSSEC manuell eintragen.

Für mich ist von Vorteil, dass ich keine Pakete einkaufe, also auch keine Abhängigkeiten von Registrar, DNS mit Webspace oder VPS habe.

Ein Wechsel des Registrars heißt in der Regel, dass Du gleich ein weiteres Jahr verlängerst, aber nicht doppelt bezahlst. Natürlich kann der Preis unterschiedlich sein, ist aber meist kein großer Unterschied.

6

Vielen Dank für den Input. Dann spricht wohl doch einiges für einen Wechsel des Registrars. Namecheap sieht ja auch ganz attraktiv aus, ich kann aber erst nach 60 Tagen wechseln.

Alternativ wäre wohl noch ein anderer DNS per DS Record und Änderung der Nameserver möglich. Beispielsweise Cloudflare? Aber so wie ich das verstanden habe, müsste der Registrar auch das unterstützen.

7

Ich werfe hier mal inwx.de in den Ring. Deutscher Anbieter, faire Preise und bietet kostenloses DNSSEC. Änderungen an den Nameservern binnen Minuten umgesetzt. Mit Netcup z. B. Stunden gewartet, bis Änderungen propagiert wurden.

8

Bei Namecheap als Registrar kannst Du DNS-Server und im Bereich „Advanced DNS“ die DS-Records nach Vorgabe von Cloudflare eintragen - so ist das bei mir.

Dort steht:

  • SSL, DNSSEC und DANE für erhöhte Sicherheit bei vielen Domains möglich

Generell: nicht jeder Registrar bietet DNSSEC für alle Domänen die er verkauft. Also vorher informieren. 1fire konnte z.B. kein .one, Namecheap kein .de und .eu. Kann sich natürlich geändert haben.

9

Der vollständigkeit halber. Ich spreche von solchen Einstellungen:

waterfox_ky1oe4I5f5
waterfox_ky1oe4I5f51108×692 88.1 KB

Das ist die DNS-Verwaltung bei Netcup. Wer sowas nur gegen Aufpreis anbietet, ist in meinen Augen kein seriöser Registrar.

10

@bamf
Wenn du bei Netcup deine Domain hast und die DNSsec unterstützen, warum meldest du dich dann bei dem DNS Provider desec.io an und lässt es nicht Netcup machen?

11

netcup bietet nur ein Interface zum Eintragen, du brauchst nen 2ten DNS Provider dafür.
Jedenfalls war das noch so als ich dort Domains hatte.

1 „Gefällt mir“
12

@Tealk
Hier eine Liste mit den Domains, bei denen Netcup DNSsec unterstützt.
https://helpcenter.netcup.com/de/wiki/domain/dnssec

13

ja aber du musst es immer noch manuell konfigurieren, siehe Screenshot von bamf.
Bei Nameceap ist es für mich ein Schalter den ich aktiviere und es läuft.

14

Das ist nicht korrekt.
DNSSEC kann bei Netcup mit einem Klick aktiviert werden.

Momentan haben die mit DNSSEC Stabilitätsprobleme. Deshalb wird so häufig ein externer DNS-Provider empfohlen.

Der Screenshot zeigt die Einstellungen für einen externen DNS-Provider. Dann muss DNSSEC immer manuell beim Registrar eingetragen werden, da der Schlüssel vom DNS-Provider generiert wird.

2 „Gefällt mir“
15

Soweit ich mich erinnere, waren es diverse exotische Records, z.B. SSHFP, die bei Netcup damals (einige Jahre her) nicht möglich waren.

Und außerdem wollte ich DynDNS mit eigener Domain und IPv6 haben.

Deshalb habe ich schon 2020 rum alle meine Domains zu deSEC delegiert. Das hatte mit DNSSEC nichts zu tun.

16

Wieso hast du eine 0 bei MTA-STS? Ich dachte immer es wäre am sichersten, angesichts der Tatsache, dass DNSsec nicht sonderlich verbreitet ist, dies noch als weitere Maßnahme zu haben. Es hilft zwar nicht gegen das von dir erwähnte Cache Poisoning, erschwert aber doch einige Angriffspunkte von STARTTLS und ist unabhängig von DNSSEC einfach einzurichten.

Da ich mir aber nicht sicher bin, ob ich die ganzen Zusammenhänge überhaupt richtig verstanden habe, hier meine Frage und Mutmaßungen, was der Mescatest eigentlich aussagt?
-StartTLS: Der Mailbox Mailserver ist in Lage eine Mail verschlüsselt zu versenden.
-X509: Es existieren Zertifikate.
-SPF: Maßnahme, um das Fälschen einer Mailabsenderadresse zu verhindern.
-DKIM: Authentifizierungsmechanismus, ob die Mail von der angegebenen Domain versendet wurde, als Maßnahme gegen Mail-Spoofing.
-DMARC: Maßnahme, um zu überprüfen, ob überhaupt eine DKIM Sigantur vorliegt.

SPF/DKIM/DMARC sollten zusammen immer vorhanden sein und stellen mit StartTLS und X509 die minimalen Sicherungsvoraussetzungen für die heutige Mailkommunikation und sollten im Mescatest immer einen Wert von 100 haben.

Um noch STARTTLS sicherer zu machen gibt es
-MTA-STS was die Ausnutzung einiger Schwachstellen von STARTTLS erschwert. Vorteil, es ist einfach einzurichten, sofern man einen mit SSL abgesicherten Webspace hat (falls nicht, reicht auch ein Konto bei Github, um es einzurichten).

Erstrebenswert wären dann noch DANE und DNSSEC.
-DANE: Damit kann noch vor dem Verbindungsaufbau mit dem Zielserver geprüft werden, ob STARTTLS vorliegt und somit ein verschlüsselter Versand möglich ist, um eine Session Downgradeattacke vorzubeugen und um Man-in-the-Middle Attacken zu entgehen, da über das Vorhandensein bestimmter Merkmale der Zielserver als der Richtige identifiziert werden kann. DANE sollte der zu versendende Mailserver immer können, ist aber nur wirksam, wenn im Zielsystem DNSSEC vorhanden ist. Somit setzt DANE das Vorhandensein von DNSSEC voraus.
-DNSSEC: Idealerweise beim Domainhoster aktivierbar, bzw. sollte er willig sein, die entsprechenden Einträge, die man bei einem anderen DNSSEC unterstützenden DNS-Provider für seine Domain erzeugt in die Elternzone der Domain einzutragen.

Somit wäre doch die Eingangsfrage, ob DNSSEC (zusammen mit DANE) unverzichtbar für eine Mailkommunikation ist, eigentlich mit Ja zu beantworten. Es behebt doch die größte Schwachstelle in der Mailkommunikation, dass man nicht sicher sein kann, ob die Mail durchgehend verschlüsselt übertragen wird und dass die beteiligten Mailserver auch die sind, für die man sie hält.

Da nun DNSSEC nicht nur für die Mailkommunikation ein Plus an Sicherheit bedeutet, sondern auch allgemein die Sicherheit der DNS-Struktur erhöht und man so z.B. sicher sein kann, auch wirklich auf der echten Bankseite zu sein, würde auch die Nachfrage des Verbrauchers beim Domain und Mailanbietern die Verbreitung von DNSSEC fördern.

2 „Gefällt mir“