Beim Durchblättern von IT-Magazinen stolperten unsere SEPPmail-Techniker in letzter Zeit immer öfter über den Security-Begriff „DANE“. Auch im Gespräch mit Kunden kam vereinzelt die Frage nach diesen magischen vier Buchstaben auf. Den Medien zufolge impliziert DANE hohe Sicherheit. Wir bei Schwartz sehen das anders und möchten Aufklärungsarbeit leisten und haben mit der SEPPmail AG als Goldpartner das Thema beleuchtet.
Zunächst stellt sich die Frage, was DANE genau ist bzw. für Nutzer in puncto E-Mail-Schutz zu bieten hat. Um den Antworten näher zu kommen, müssen wir die technologischen Eigenschaften beleuchten. „DNS-based Authentication of Named Entities“, kurz DANE, ist ein Netzwerkprotokoll, das den Datenverkehr abzusichern soll. Die Technologie ergänzt die allseits bekannte Transportwegverschlüsselung Secure Sockets Layer (SSL)/ Transport Layer Security (TLS), die SEPPmail-Anwendern bereits bekannt ist. Hauptaufgabe von DANE: Das Protokoll verhindert, dass Zertifikate beim verschlüsselten Versand von E-Mails unbemerkt von Dritten ausgewechselt werden können – eine erweiterte TLS-Verschlüsselung zwischen Servern.
Derzeit wird das Protokoll jedoch nur von vereinzelten Mailservern unterstützt. Das führt dazu, dass die DANE-Technik bei PC & Co. auf Dauer instabile Betriebszustände verursachen. Daraus resultieren Probleme beim Mail-Empfang und -Versand, durch die im ungünstigsten Falle der gesamte E-Mail-Verkehr über den betroffenen Server zum Erliegen kommt.
Grund dafür sind Unstimmigkeiten bei den DNSSEC (Domain Name System Security Extensions)-Anfragen der Server. DNSSEC sind Internetstandards, die das Domain Name System (DNS) um spezielle Sicherheitsmechanismen erweitern. Diese dienen zur Gewährleistung der Authentizität und Integrität der Daten, was bedeutet, dass ein DNS-Teilnehmer damit verifiziert, dass enthaltene Daten unverändert sind. Eine Authentifizierung von Servern und Clients findet allerdings nicht statt: ein wesentlicher Nachteil von DNSSEC. Zudem sind diese Internetstandards nur wenig verbreitet und verfügen über eine geringe Anzahl der von DANE benötigten Zertifikats-Fingerabdrücke. Ein solcher Fingerabdruck ist ein Hash-Wert (z.B. 128 Bit, 160 Bit) des Zertifikats, durch den dieses eindeutig identifiziert werden kann.
Durch die genannten Mängel hat der Herrsteller SEPPmail AG bisher auf eine Freischaltung bzw. die Implementierung in der GUI von SEPPmail verzichtet. Die Sicherheitsstufe von DANE erfüllt nicht den aktuell in der SEPPmail-Lösung implementierten Standard, wie er etwa durch S/MIME, PGP, GINA oder Domänenverschlüsselung erreicht wird. Es handelt sich schließlich um eine reine Transport- und keine Datenverschlüsselung.
Wir werden das Thema DANE jedoch weiterhin im Auge behalten. Zu einem geeigneten Zeitpunkt, wenn die Fehler ausgeräumt wurden, plant der Hersteller SEPPmail AG DANE für den allgemeinen Betrieb innerhalb der SEPPmail freizugeben.
Nähere Information zum Thema Mailverschlüsselung über eine Gateway finden Sie unter:
https://www.schwartz.de/index.php/produktloesungen/seppmail und
http://www.seppmail.ch