DNS-Checks
1. Absender-Adresse
Zusätzlich zu den RBL-Domain-Checks wird die Domain der Absender-Mailadresse auf Existenz geprüft. Existiert die Domain nicht, wird die Mail abgelehnt.
2. DANE
Der Check findet immer im versendenden Mailserver statt, d.h. bei uns im ausgehenden Mailverkehr. Der Empfänger muss jedoch mithelfen, indem er DNSSEC benutzt und TLSA-Records veröffentlicht.
a. Der Standard bei uns ist opportunistic DANE. Es wird überprüft, ob die MX-Records der Empfängerdomain sowie die A-/AAAA-Records der Mailserver DNSSEC-geschützt sind. Ist dies der Fall, so wird geprüft, ob für die A-/AAAA-Records TLSA-Records existieren. Ist dies auch der Fall, so wird die Mail nur übertragen, wenn der empfangende Mailserver TLS anbietet und dessen Zertifikat sich mit der Checksumme aus dem TLSA-Record verifizieren lässt. Fehlt DNSSEC oder fehlen die TLSA-Records, so wird die Mail normal übertragen (TLS, wenn angeboten, ansonsten Klartext).
b. Auf Wunsch kann für eine von Ihnen zu liefernde Liste von Empfänger-Domains mandatory DANE aktiviert werden. Mails an diese Empfänger werden nur dann zugestellt, wenn DNSSEC und TLSA-Records vorhanden und der DANE-Check erfolgreich durchlaufen wurde.
In folgender Tabelle sind die Schritte des DANE-Checks aufgelistet sowie das daraus resultierende Verhalten des postfix:
| opportunistic DANE | mandatory DANE | |
|---|---|---|
| 1. DNS- bzw. DNSSEC-Fehler treten auf | defer | defer |
| 2. MX-Records sind nicht DNSSEC geschützt | may | defer |
| 3. A-/AAAA-Records sind nicht DNSSEC geschützt | may | defer |
| 4. TLSA-Records sind nicht vorhanden | may | defer |
| 5. Inhalt des TLSA-Records ist nicht verwertbar | mandatory TLS | defer |
| 6. Server bietet kein TLS-Zertifikat an | defer | defer |
| 7. Zertifikat passt nicht zu TLSA-Records | defer | defer |
| 8. DANE-Check bestanden | TLS-gesicherte Übertragung der Mail | |
defer: Die Mail wird in die Queue zurückgestellt. In gewissen Zeitabständen wird ein neuer Versuch gestartet, wobei alle Schritte nochmals durchlaufen werden. Nach fünf Tagen erfolgloser Versuche geht die Mail als unzustellbar an den Absender zurück.
may: Bietet der Empfänger-Mailserver ein TLS-Zertifikat an, so wird dieses ohne nähere Prüfung zur Verschlüsselung verwendet. Wird kein Zertifikat angeboten, so wird die Mail unverschlüsselt übertragen.
mandatory TLS: Die Mail wird nur übertragen, wenn der Empfänger-Mailserver ein TLS-Zertifikat anbietet. Dieses wird ohne nähere Prüfung zur Verschlüsselung verwendet.