[Postfixbuch-users] Verweis von unsignierten Domains auf DANE-Mailserver

Patrick Ben Koetter p at sys4.de
Sa Jan 17 23:26:29 CET 2015


* Carsten <postfixbuch-users at listen.jpberlin.de>:
> Hi Leute,
> ich stelle mir gerade die Frage, ob folgendes Szenario möglich ist:
> 
> Mailserver mx.provider.de hat gültige DANE Signaturen im DNS und die
> Kette bis zur Root-Zone
> ist bei dieser Domain korrekt mit DNSsec abgesichert.
> 
> Jetzt setze ich für example.com den MX10 auf mx.provider.de
> Hierbei ist aber die Domain example.com bzw. dessen Nameserver nicht
> per DNSSEC abgesichert.
> 
> Ich möchte also nur die Provider-Domain vollständig korrekt DANE
> tauglich machen,
> und einige andere Domains, dessen Nameserver weder DANE noch DNSSEC
> unterstützen darauf verweisen lassen.
> 
> Ist das so möglich, dass am Ende auch die Validierung mit DANE
> korrekt funktioniert oder gibts da Nachteile?

Die Kette muss lückenlos sein. Ich kann ein böser Finger mit einer DNSSEC und
DANE gesicherten Domain sein. Dann kompromittiere ich Dein ungesichertes DNS
(example.com) und schicke Sender zu mir wo sie dann voll abgesichert ihre
Informationen an der falschen Haustür abliefern.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 



Mehr Informationen über die Mailingliste Postfixbuch-users