Red Sifts Leitfaden zur Konfiguration von E-Mail-Protokollen
Learn about DANE and DNSSEC
What is DANE?
DNS-Based Authentication of Named Entities or DANE is a way of associating a certificate to a domain name without having to rely on external third parties. DANE provides a secure channel between the sender and recipient, ensuring that the sender is talking to the right recipient while preventing MITM from intercepting or modifying the email in transit.
Published under RFC 7671, it introduces a new Internet standard for setting up TLS (Transport Layer Security) communication between a client and a server, without having to rely on trusted Certificate Authorities (CAs).
The traditional CA model TLS has depended on allows any of CA to issue a certificate for any domain. DANE does things differently; it relies on the DNSSEC infrastructure (Domain Name System Security Extensions) to bind a domain name to a certificate.
Why was DANE developed?
There are two main reasons:
1) Improper use of trusted third-party CAs
Attackers can sometimes successfully impersonate a person or service and obtain a rogue certificate. Although this certificate is valid and issued by a trusted third party, it is not designated to the intended person.
2) Eliminating the possibility of MITM (Man-In-The-Middle) attacks
MITM is when an attacker intercepts the conversation between a client and server by inserting themselves into the middle of the conversation, tricking both parties to think that they are talking to each other. This can lead to TLS session downgrade or cache poisoning.
Can DANE be used by any application?
As long as the application uses TLS to connect to services identified by domain names, DANE is universal. It is backward compatible, so if DANE is not supported by a mail server, the client can fall back to using STARTTLS or even clear text. It was developed to be deployed gradually while interoperating with the existing email backbone. As DANE adoption grows, it will promote the use of DNSSEC and vice versa.
What is needed to deploy DANE?
- Security-aware resolver that can query and validate DNSSEC and TLSA records
- DNSSEC signed zone and RRsets
How does DANE achieve the above?
DANE makes use of the already existing DNSSEC protocol, to make sure the data it receives is authentic and has not been tampered with. DANE also introduces a new DNS RR type called TLSA which helps to signal to the client that a server supports TLS.
A TLSA record needs to be set up for each application that makes use of TLS. Each one of those applications will run on different ports and based on the port number, a TLSA record can exist.
If MTA-STS and DANE serve the same purpose, which protocol should I implement?
The recommendation is to implement both MTA-STS and DANE. DANE is a requirement from many governments, so public agencies in the EU are often required to implement it.
DANE and MTA-STS help only if the sender supports it, however, many senders only support one or the other so implementing both improves security overall.
What is DNSSEC?
The Domain Name System Security Extensions (DNSSEC) is a suite of Internet Engineering Task Force (IETF) specifications for securing certain kinds of information provided by the Domain Name System (DNS) as used on IP networks.
The DNSSEC is a set of extensions that provide DNS clients (resolvers) origin authentication of DNS data, authenticated denial of existence, and data integrity, but not availability or confidentiality.
Since the original specification of DNS did not include any security details, DNSSEC attempts to protect applications (and caching resolvers serving those applications) from using forged or manipulated DNS data (such as that created by DNS cache poisoning) all while maintaining backward compatibility.
All answers from DNSSEC-protected zones are digitally signed, verifying their authenticity.
Please note that the initial DNSSEC specification RFC 2535 has become obsolete, due to scalability concerns. DNSSEC-bis is the current protocol. For further information, see: RFC 4033, RFC 4034, and RFC 4035.
Häufig gestellte Fragen: Leitfaden zur Konfiguration von E-Mail-Protokollen
In einer Zeit vor DMARC verwendeten SPF-Records häufig den Mechanismus „-all“, um Absender-Richtlinien streng durchzusetzen. Die aktuellen Branchenempfehlungen im Jahr 2026 bevorzugen jedoch „~all“, um Sicherheit und Zustellbarkeit auszubalancieren und unnötige Ablehnungen gültiger E-Mails zu vermeiden, die möglicherweise bei SPF fehlschlagen, aber DKIM und DMARC bestehen.
Das liegt daran, dass „~all“ in Kombination mit DMARC (bei p=reject) weiterhin nicht authentifizierte E-Mails ablehnt, falls SPF und DKIM fehlschlagen, aber keine legitimen E-Mails blockiert. Dadurch wird die allgemeine E-Mail-Zustellbarkeit erhöht.
Die DMARC-Spezifikation (RFC 7489) besagt, dass ein „-“-Präfix wie bei „-all“ bei einem SPF-Mechanismus des Absenders dazu führen kann, dass Ablehnungen bereits frühzeitig während der Verarbeitung wirken und somit Nachrichten zurückgewiesen werden, bevor eine DMARC-Prüfung stattfindet. Verwenden Sie „-all“ ausschließlich für inaktive, nicht versendende Domains (Domains, die keinerlei E-Mails senden). DMARC ignoriert die Unterschiede zwischen Soft Fail und Hard Fail in der SPF-Konfiguration und behandelt beide als SPF-Fehler.
DMARC verlangt nicht nur, dass SPF oder DKIM bestanden werden, sondern es erfordert auch, dass mindestens eine der von SPF oder DKIM verwendeten Domains mit der im From-Header gefundenen Domain übereinstimmt (Alignment). Eine korrekte Ausrichtung ist im Jahr 2026 entscheidend für die E-Mail-Zustellbarkeit, da große Postfachanbieter diese Anforderungen durchsetzen.
Bei SPF bedeutet Identifier Alignment, dass die Überprüfung von MAIL FROM/Return-PATH bestanden werden muss und außerdem der Domain-Anteil des MAIL FROM/Return-PATH mit der Domain in der From-Adresse übereinstimmen muss. Bei Strict Alignment müssen die Domains exakt übereinstimmen, während im Relaxed Alignment auch Subdomains zulässig sind, solange sie zur selben Organisationsdomain gehören.
Beispiel: Ist MAIL-FROM/RETURN-PATH @ondmarc.com und der From-Header @knowledge.ondmarc.com, so gilt dies bei Strict Alignment als nicht ausgerichtet. Im Relaxed Alignment-Modus würde DMARC allerdings als bestanden gelten.
Ein DMARC-Aggregatbericht enthält Informationen über den Authentifizierungsstatus von im Namen einer Domain versandten Nachrichten. Es handelt sich um einen XML-Feedbackbericht, der einen umfassenden Überblick über E-Mails gibt, die SPF und DKIM bestanden oder nicht bestanden haben. Der Bericht bietet Domain-Inhabern genaue Einblicke darüber, welche Quellen im Namen Ihrer Domain E-Mails senden und welches Ergebnis (welche empfangsseitige Richtlinie) angewendet wurde.
Empfänger sehen sich das „rua“-Tag Ihres DMARC-Records an und senden Berichte an diese Adresse. Das Intervall für Aggregatberichte kann im DMARC-Record über das „ri“-Tag festgelegt werden (Standard: 86400 Sekunden = 24 Stunden). Forensikberichte enthalten detailliertere Informationen zu einzelnen Authentifizierungsfehlern. Jegliche personenbezogenen Daten (PII) werden entfernt, aber Informationen zur Fehlersuche wie SPF- und DKIM-Header-Fehlinformationen, die gesamte From-Adresse und der Betreff der E-Mail werden mit aufgenommen.
Die Adresse für den Empfang von Forensic-Berichten wird über das „ruf“-Tag im DMARC-Record angegeben. Nicht alle empfangenden Systeme unterstützen den Versand von Forensikberichten. Red Sift OnDMARC ist eine der wenigen DMARC-Lösungen am Markt, die Forensikberichte dank der Partnerschaft mit Yahoo empfangen kann.
Ein SPF-Makro bezeichnet einen Mechanismus in SPF-Records, mit dem wiederverwendbare IP-Adressenlisten definiert werden. SPF-Makros bieten mehr Flexibilität und Wartungsfreundlichkeit, da komplexe IP-Adressmengen in einem einzigen Mechanismus definiert und in mehreren SPF-Records referenziert werden können. Anstatt einzelne IP-Adressen für jeden berechtigten E-Mail-Server zu listen, kann beispielsweise ein Makro wie „%{i}“ verwendet werden, das auf die Absender-IP der E-Mail verweist. So kann man eine große Liste autorisierter IPs verwalten, ohne die SPF-Query-Grenze zu erreichen, und gleichzeitig unkenntlich machen, welche IPs öffentlich abgefragt werden dürfen.
Abhängig davon, wie der SPF-Record mit Makros aufgebaut ist, kann fehlende Makro-Erweiterung jedoch zu SPF-Fehlern oder „Neutral“-Ergebnissen führen (gekennzeichnet durch den ?all-Mechanismus). Spielen SPF-Makros eine entscheidende Rolle bei der Autorisierung legitimer Versandserver, können E-Mails möglicherweise eher bei der SPF-Prüfung durchfallen oder von empfangenden Systemen, die auf SPF-Verifizierung setzen, als verdächtig markiert werden.
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard zur Verschlüsselung von Nachrichtenübertragungen zwischen zwei Mailservern. Er legt fest, dass E-Mails nur über eine TLS-verschlüsselte Verbindung übertragen werden dürfen, wodurch verhindert wird, dass E-Mails von Cyberkriminellen abgefangen werden können.
Die Einführung von MTA-STS hat 2026 signifikant zugenommen, da Organisationen die Sicherheit der Transportebene beim E-Mail-Versand als unverzichtbar betrachten. Empfangende Domains müssen zur Aktivierung von MTA-STS mitteilen, dass sie MTA-STS in ihrem DNS unterstützen, und eine Policy-Konfigurationsdatei auf ihrer Website veröffentlichen.
MTA-STS sollte vorsichtig aktiviert werden, um zu verhindern, dass E-Mails fälschlicherweise blockiert werden. Zunächst sollte die Aktivierung im Testmodus erfolgen, damit TLS-Berichte Fehlerquellen aufdecken können, bevor die Richtlinie endgültig auf „enforce“ gesetzt wird. Dieses gestufte Vorgehen wird 2026 voraussichtlich zum Standard für Organisationen bei der Implementierung von Transportverschlüsselung.
SMTP TLS Reporting (oder kurz TLS-RPT) ermöglicht die Meldung von TLS-Konnektivitätsproblemen auf Seiten der sendenden MTAs, definiert in RFC8460. Ähnlich wie DMARC setzt TLS-RPT auf per E-Mail versendete Berichte, um Domain-Inhaber über Zustellprobleme infolge von TLS-Problemen zu informieren. Diese Berichte enthalten festgestellte MTA-STS-Policies, Verkehrsdaten, fehlgeschlagene Verbindungen und Fehlerursachen.
Mit Red Sift OnDMARCs MTA-STS-Funktion entfällt der komplexe Einrichtungsaufwand: Sie müssen lediglich die MTA-STS Smart Records, die OnDMARC bereitstellt, in Ihr DNS eintragen und Red Sift übernimmt den Rest, wie Hosting der Policy-Datei, Wartung des SSL-Zertifikats und das Flaggen von Policy-Verstößen über den TLS-Bericht. Moderne DMARC-Plattformen bieten 2026 zunehmend gehostetes MTA-STS als Standardfeature an, um die Einführung der Transportverschlüsselung zu erleichtern.
Veröffentlicht unter RFC 7671 führt DANE (DNS-based Authentication of Named Entities) einen Internet-Standard zur Einrichtung von TLS-Kommunikation zwischen Client und Server ein, ohne dass auf vertrauenswürdige Zertifizierungsstellen (CAs) zurückgegriffen werden muss.
Das klassische CA-Modell für TLS erlaubt jeder CA ein Zertifikat für jede beliebige Domain auszustellen. DANE geht einen anderen Weg und stützt sich auf DNSSEC (Domain Name System Security Extensions), um einen Domainnamen kryptografisch einem Zertifikat zuzuordnen. DANE nutzt das bestehende DNSSEC-Protokoll, um sicherzustellen, dass die empfangenen Daten authentisch und unverändert sind.
Außerdem führt DANE einen neuen DNS-RR-Typ namens TLSA ein, über den dem Client signalisiert wird, dass ein Server TLS unterstützt. Die Empfehlung lautet, sowohl MTA-STS als auch DANE zu implementieren. DANE ist in vielen Behörden der EU vorgeschrieben, öffentliche Einrichtungen sind zur Einführung oft verpflichtet.
Sowohl DANE als auch MTA-STS bieten Schutz nur, wenn der Absender dies unterstützt. Viele Absender unterstützen aber nur eines von beidem, daher erhöht die Implementierung beider Methoden die Gesamtsicherheit. 2026 setzen Organisationen meist zuerst auf MTA-STS für mehr Kompatibilität und ergänzen DANE für höhere Sicherheit wo vorgeschrieben.
Mit der Subdomain-Policy können Domain-Administratoren verschiedene Domains und Subdomains je nach Status auf ihrer DMARC-Reise unterschiedlich schützen. Sind beispielsweise alle Ihre E-Mail-Dienste für die Hauptdomain vollständig mit SPF und DKIM konfiguriert, können Sie die Hauptdomain mit einer DMARC-Policy p=reject schützen und die Subdomains auf p=none belassen – oder umgekehrt.
Wenn Sie einen E-Mail-Dienst haben, der nicht DMARC-konform ist (kein SPF oder DKIM unterstützt), können Sie ihm eine Subdomain zuweisen und dafür eine andere DMARC-Policy definieren, ohne den Schutz Ihrer anderen Domains zu gefährden. So können Sie den E-Mail-Verkehr über verschiedene Subdomains verteilen und jede einzeln absichern.