Feature-Vorschlag: Domainrating für DNSSEC und DANE

[Fabian]

Hallo zusammen,

wie aus der Überschrift schon zu entnehmen ist, möchte ich anregen die Domainbewertung um DNSSEC (A+) und DANE eingehend/ TLSA (A++) zu erweiterten.
(Nachdem man es selbst erst vorkurzem umgesetzt hat )

Kriterien:
A+: Die Domain ist via DNSSEC abgesichert
A++: Ein gültiger TLSA-Eintrag für den MX-Host vorhanden. Prüfung des TLSA-Eintrages gegen des am MX bereit gestellten Zertifikates

Beispiel an der bestehenden Tabelle:

Feld	Beschreibung	Zustand
A++	Überwältigend/ Perfekt	Einrichtung von DANE für den Empfang abgeschlossen
A+	Hervorragend/ überragend	Einrichtung von DNSSEC abgeschlossen
A	Exzellent	Einrichtung von DMARC/SPF/DKIM abgeschlossen
B	Gut	Einrichtung von DKIM und SPF abgeschlossen, aber DMARC-Policy p=none
C	Befriedigend	DKIM-Einrichtung und grundlegende SPF-Einrichtung abgeschlossen oder SPF-Einrichtung abgeschlossen aber kein DKIM
D	Ausreichend	Nur DKIM oder einfache SPF-Einrichtung abgeschlossen
E	(Fast) ausreichend	Ausschließlich DMARC-Reporting aktiviert (kein SPF oder DKIM)
F	Nicht ausreichend	Nichts konfiguriert

LG
Fabian

 

[Sören]

Dagegen (vorerst)

Im Gegensatz zu SPF, DKIM und DMARC wo ich immer in der Lage bin in der DNS Zone den Eintrag zu setzen, bin ich bei DNSSEC und DANE komplett vom Provider abhängig und kann das nicht mal eben so einfach einrichten.
Ich selbst bin mit meinem Zoo an Domains bei Namecheap, die können zwar DNSSEC, machen aber kein TLSA... sprich, ich habe es nicht in der Hand.

Klar kann ich den Provider wechseln, aber gerade in großen Unternehmen, macht man das nur sehr sehr ungern...vor allem wenn nur dieser eine Usecase abgedeckt werden soll.

Was noch dazu kommt, ist die wahnsinnig schlechte Verbreitung von DNSSEC: dass hier ist eine Grafik aller meiner DNS Requests von allen Geräten im Haus der letzten 30 Tage (317.360 DNS Anfragen in 7 Tagen):



Da hat sich schon mal etwas gesteigert, vor 3 Jahren waren es noch 12.5% ...aber wenn man bedenkt wie alt die RFC zu DNSSEC und DANE ist, ist das einfach nur traurig. Technologie dahinter ist natürlich top...

Daher würde ich zumindest jetzt noch nicht in die Bewertung einfließen lassen. Grundlegend ist die Idee aber gut... ich bin gespannt was andere dazu denken

 

[869288141]

Hallo zusammen,

wie aus der Überschrift schon zu entnehmen ist, möchte ich anregen die Domainbewertung um DNSSEC (A+) und DANE eingehend/ TLSA (A++) zu erweiterten.

A+ und A++. Ist das mit einer Note im Schulsystem von 1+ gleich zu setzen?

A+: Die Domain ist via DNSSEC abgesichert
A++: Ein gültiger TLSA-Eintrag für den MX-Host vorhanden. Prüfung des TLSA-Eintrages gegen des am MX bereit gestellten Zertifikates

Der Vorschlag, eine Bewertung wie „A+“ für DNSSEC zu vergeben, erscheint mir nicht ganz nachvollziehbar. Meiner Meinung nach sollte eine Grundfunktion wie DNSSEC als Standardanforderung betrachtet werden, statt sie zusätzlich zu bewerten oder zu „belohnen“.

Im Gegensatz zu SPF, DKIM und DMARC wo ich immer in der Lage bin in der DNS Zone den Eintrag zu setzen, bin ich bei DNSSEC und DANE komplett vom Provider abhängig und kann das nicht mal eben so einfach einrichten.

Eine höhere Bewertung könnte sicherlich etwas Bewegung in das Thema bringen. Allerdings wissen viele Postmaster oft nicht einmal, was DMARC oder DANE ist. Da dürften DNSSEC und TLSA für die meisten noch größere Herausforderungen darstellen. Wenn ich sehe, wie viele Anfragen allein bei meinem Arbeitgeber wöchentlich über die Postmaster-Adresse eingehen, ist es eigentlich ein kleines Wunder, dass die Firmen überhaupt noch E-Mails zuverlässig verschicken können.

Die Vergangenheit zeigt, dass meist Druck von den großen Anbietern nötig ist, damit sich neue Standards wirklich durchsetzen. Ich mach gleich ne Mail an Marissa, Satya, und Sundar fertig...

Ich selbst bin mit meinem Zoo an Domains bei Namecheap, die können zwar DNSSEC, machen aber kein TLSA... sprich, ich habe es nicht in der Hand.

Aua. Geheimtipp: INWX & deSEC.

Klar kann ich den Provider wechseln, aber gerade in großen Unternehmen, macht man das nur sehr sehr ungern...vor allem wenn nur dieser eine Usecase abgedeckt werden soll.

Die Unternehmen, bei denen ich Einblick habe, betreiben in der Regel einen autoritativen DNS-Server für ihre Zonen im Rechenzentrum. Dieser fungiert nach außen oft als Hidden Primary DNS. Für die Bereitstellung der DNS-Informationen an Endnutzer wie dich und mich kommen hingegen spezialisierte DNS-Anbieter mit Funktionen wie Anycast zum Einsatz. Damit verbunden auch ein eigenes Team, welches den ganzen Tag nichts anderes macht.

Daher habe ich bis dato vermutet, dass es die Kleinen und KMU sind, welche den Arsch nicht hochbringen.


Gruß,
Daniel

 

[Fabian]

Hallo zusammen,

A+ und A++. Ist das mit einer Note im Schulsystem von 1+ gleich zu setzen?


Der Vorschlag, eine Bewertung wie „A+“ für DNSSEC zu vergeben, erscheint mir nicht ganz nachvollziehbar. Meiner Meinung nach sollte eine Grundfunktion wie DNSSEC als Standardanforderung betrachtet werden, statt sie zusätzlich zu bewerten oder zu „belohnen“.

Der Gedanke mit A+ und A++ war angedacht um das vorhandene Wertungssystem von E -> A fortzusetzen.

SPF bis DMARC sind für mich auch Standards und sollten nicht belohnt werden

Verbreitung ist ja meist so ein Thema... Aber vielleicht hilft es ja das Thema transparenter zu machen - zumindest für die Kunden, weiche 25 Reports im Einsatz haben.

LG
Fabian

 

[Sarah]

Hallo,
die Diskussion finde ich äußerst spannend.

wie aus der Überschrift schon zu entnehmen ist, möchte ich anregen die Domainbewertung um DNSSEC (A+) und DANE eingehend/ TLSA (A++) zu erweiterten.

Grundsätzlich ist geplant, dass wir sowohl DNSSEC/DANE als auch MTA-STS auswerten und damit auch in unsere Domänenbewertung einfließen lassen. Da das aber noch nicht fest auf der Roadmap steht (die aktuelle geht bis Juli 2026), gibt es noch kein konkretes Konzept.

Aktuell wäre ich wie Fabian auch für eine Art "Bonus"-Bewertung, sprich A+ bzw. A++ bei Umsetzung der jeweiligen Mechanismen.
Auf lange Sicht bin ich wiederum bei Daniel: Beides sollten wir irgendwann als Standard für eine sichere E-Mail Infrastruktur voraussetzen und folglich die Bewertung auf ein A herabsetzen.

Dabei würde ich aktuell tatsächlich MTA-STS früher als Mindestanforderung setzen. Zwar bietet DNSSEC (+ DANE) den besseren Schutz, ist aber anspruchsvoller und wie Sören schon erwähnt hat, teilweise durch die Provider eingeschränkt.
Auch sind bei mir bisher nur Nachfragen zu "Wann unterstützt ihr MTA-STS?" angekommen. Damit ist für mich das Implementieren einer Bewertung bzw. Unterstützung für MTA-STS derzeit höher priorisiert als die Implementation für DNSSEC (+ DANE).

Bis wir die Umsetzung tatsächlich angehen, ist das aber noch nicht in Stein gemeißelt und ich bin für Gegenargumente offen.

LG Sarah

 

[869288141]

Hallo Sarah,

Zwar bietet DNSSEC (+ DANE) den besseren Schutz, ist aber anspruchsvoller und wie Sören schon erwähnt hat, teilweise durch die Provider eingeschränkt.

Aktuell würde ich behaupten, dass es mehr DNS-Hoster am Markt gibt, die DNSSEC unterstützen, als solche, bei denen sich TLSA-Einträge problemlos umsetzen lassen.
Nach ein paar Nächten bin ich sogar der Ansicht, dass das fehlende DNSSEC eine Abwertung geben sollte.

Unabhängig davon bin ich der Meinung: Wer seine Aufgabe als Postmaster ernst nimmt und das Thema Sicherheit entsprechend priorisiert, sollte im Zweifel auch einen Anbieterwechsel in Betracht ziehen. Nach wie vor gilt die freie Marktwirtschaft.

Damit ist für mich das Implementieren einer Bewertung bzw. Unterstützung für MTA-STS derzeit höher priorisiert als die Implementation für DNSSEC (+ DANE).

Umso mehr hoffe ich, dass MTA-STS zeitnah in NoSpamProxy implementiert wird. Andernfalls könnte das in verschiedener Hinsicht Fragen aufwerfen und das ist sicherlich nicht im Interesse von Jan.


Gruß,
Daniel