XS4ALL valideert DANE voor uitgaande mail

XS4ALL heeft onlangs DANE-validatie aangezet voor alle uitgaande mail. Dat betekent dat hun verzendende mail-server smtp.xs4all.nl voor het afleveren van een bericht eerst checkt of er een TLSA record voor mail aanwezig is op het domein van de ontvanger. Is dat inderdaad het geval, dan wordt de hash uit het betreffende record gebruikt om het TLS server-certificaat op de ontvangende mail-server (de MX gateway) te valideren. Behalve dat hiermee het server-certificaat cryptografisch vastgepind wordt via de DNSSEC-infrastructuur, wordt zo ook een downgrade-aanval op de SMTP STARTTLS capability voorkomen.

Soft fail

Tot nu toe staat de mail server bij XS4ALL in soft-fail modus: de Cloudmark Gateway is nu zo geconfigureerd dat een mail-bericht na een DANE-validatiefout na een paar seconden opnieuw wordt aangeboden, maar dan zonder validatie.

JPC-OneConf-DANE-XS4ALL-oneslide-sheet4

"We hopen binnen een aantal weken over te kunnen schakelen naar hard fail, vertelt systeembeheerder Jan-Pieter Cornet."We hebben nu zo'n twee maanden aan log files verzameld. De fouten die we zien betreffen vooral DNSSEC (bijvoorbeeld rare NSEC records, het ongeoorloofde gebruik van CNAMES in MX records, en problemen met wildcard records) en DANE zelf (records die niet matchen met het certificaat). De problemen lijken zich te concentreren bij een handjevol hosters, dus die moeten we gaan benaderen."

DANE voor klantdomeinen

Cornet verwacht dat DANE voor mail een grote vlucht gaat nemen. "DANE voor web zal pas later volgen vanwege de grote weerstand vanuit de CA's, die hun inkomsten zien verdwijnen."

"Wat helpt is dat DANE op de pas-toe-of-leg-uit-lijst (ptolu) ptolu) van het Forum Standaardisatie staat (straks waarschijnlijk ook voor uitgaande mail). "We hebben regelmatig klanten die naar de ptolu-lijst refereren als ze bij ons om DANE vragen. Als dat er eenmaal genoeg zijn om de business case voor klantdomeinen rond te maken, dan kunnen we DANE straks ook in de klant-interface implementeren."

Reacties

  • dinsdag 19 december 2017

    .nl-domeinnaam

    Het was een goed jaar voor .nl

    nl-thumbnail_30

    4 domeinnaamhouders vertellen over hun nieuwe domeinnaam

    Lees meer
  • dinsdag 26 februari 2019

    .nl-domeinnaam

    Domain Connect: nieuwe standaard die domeinnaamgebruik vereenvoudigt

    Thumb-domain-names-web-concept

    Een niet gebruikte domeinnaam, wordt vaak niet verlengd

    Lees meer
  • donderdag 21 december 2017

    Kennis

    SIDN steunt 'Later als ik groot ben'

    Thumb-screenshot-devolendammerslager.nl

    RTL4-programma onderstreept belang van digitale vaardigheden

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.