DNS-Checks

1. Absender-Adresse

Zusätzlich zu den RBL-Domain-Checks wird die Domain der Absender-Mailadresse  auf Existenz geprüft. Existiert die Domain nicht, wird die Mail abgelehnt.

2. DANE

Der Check findet immer im versendenden Mailserver statt, d.h. bei uns im ausgehenden Mailverkehr. Der Empfänger muss jedoch mithelfen, indem er DNSSEC benutzt und TLSA-Records veröffentlicht.

a. Der Standard bei uns ist opportunistic DANE. Es wird überprüft, ob die MX-Records der Empfängerdomain sowie die A-/AAAA-Records der Mailserver DNSSEC-geschützt sind. Ist dies der Fall, so wird geprüft, ob für die A-/AAAA-Records TLSA-Records existieren. Ist dies auch der Fall, so wird die Mail nur übertragen, wenn der empfangende Mailserver TLS anbietet und dessen Zertifikat sich mit der Checksumme aus dem TLSA-Record verifizieren lässt. Fehlt DNSSEC oder fehlen die TLSA-Records, so wird die Mail normal übertragen (TLS, wenn angeboten, ansonsten Klartext).

b. Auf Wunsch kann für eine von Ihnen zu liefernde Liste von Empfänger-Domains mandatory DANE  aktiviert werden. Mails an diese Empfänger werden nur dann zugestellt, wenn DNSSEC und TLSA-Records vorhanden und der DANE-Check erfolgreich durchlaufen wurde.

In folgender Tabelle sind die Schritte des DANE-Checks aufgelistet sowie das daraus resultierende Verhalten des postfix:

  opportunistic DANE mandatory DANE
1. DNS- bzw. DNSSEC-Fehler treten auf defer defer
2. MX-Records sind nicht DNSSEC geschützt may defer
3. A-/AAAA-Records sind nicht DNSSEC geschützt may defer
4. TLSA-Records sind nicht vorhanden may defer
5. Inhalt des TLSA-Records ist nicht verwertbar mandatory TLS defer
6. Server bietet kein TLS-Zertifikat an defer defer
7. Zertifikat passt nicht zu TLSA-Records defer defer
8. DANE-Check bestanden TLS-gesicherte Übertragung der Mail

defer: Die Mail wird in die Queue zurückgestellt. In gewissen Zeitabständen wird ein neuer Versuch gestartet, wobei alle Schritte nochmals durchlaufen werden. Nach fünf Tagen erfolgloser Versuche geht die Mail als unzustellbar an den Absender zurück.

may: Bietet der Empfänger-Mailserver ein TLS-Zertifikat an, so wird dieses ohne nähere Prüfung zur Verschlüsselung verwendet. Wird kein Zertifikat angeboten, so wird die Mail unverschlüsselt übertragen.

mandatory TLS: Die Mail wird nur übertragen, wenn der Empfänger-Mailserver ein TLS-Zertifikat anbietet. Dieses wird ohne nähere Prüfung zur Verschlüsselung verwendet.