XS4ALL valideert DANE voor uitgaande mail

XS4ALL heeft onlangs DANE-validatie aangezet voor alle uitgaande mail. Dat betekent dat hun verzendende mail-server smtp.xs4all.nl voor het afleveren van een bericht eerst checkt of er een TLSA record voor mail aanwezig is op het domein van de ontvanger. Is dat inderdaad het geval, dan wordt de hash uit het betreffende record gebruikt om het TLS server-certificaat op de ontvangende mail-server (de MX gateway) te valideren. Behalve dat hiermee het server-certificaat cryptografisch vastgepind wordt via de DNSSEC-infrastructuur, wordt zo ook een downgrade-aanval op de SMTP STARTTLS capability voorkomen.

Soft fail

Tot nu toe staat de mail server bij XS4ALL in soft-fail modus: de Cloudmark Gateway is nu zo geconfigureerd dat een mail-bericht na een DANE-validatiefout na een paar seconden opnieuw wordt aangeboden, maar dan zonder validatie.

JPC-OneConf-DANE-XS4ALL-oneslide-sheet4

"We hopen binnen een aantal weken over te kunnen schakelen naar hard fail, vertelt systeembeheerder Jan-Pieter Cornet."We hebben nu zo'n twee maanden aan log files verzameld. De fouten die we zien betreffen vooral DNSSEC (bijvoorbeeld rare NSEC records, het ongeoorloofde gebruik van CNAMES in MX records, en problemen met wildcard records) en DANE zelf (records die niet matchen met het certificaat). De problemen lijken zich te concentreren bij een handjevol hosters, dus die moeten we gaan benaderen."

DANE voor klantdomeinen

Cornet verwacht dat DANE voor mail een grote vlucht gaat nemen. "DANE voor web zal pas later volgen vanwege de grote weerstand vanuit de CA's, die hun inkomsten zien verdwijnen."

"Wat helpt is dat DANE op de pas-toe-of-leg-uit-lijst (ptolu) ptolu) van het Forum Standaardisatie staat (straks waarschijnlijk ook voor uitgaande mail). "We hebben regelmatig klanten die naar de ptolu-lijst refereren als ze bij ons om DANE vragen. Als dat er eenmaal genoeg zijn om de business case voor klantdomeinen rond te maken, dan kunnen we DANE straks ook in de klant-interface implementeren."

Reacties

  • vrijdag 22 februari 2019

    Veilig internet

    Hoe e-ID het Deense internet veiliger maakt

    Thumb-Danish-flag-waggling-in-the-wind

    Met e-ID’s cybercrime bestrijden

    Lees meer
  • vrijdag 27 oktober 2017

    .nl-domeinnaam

    Waarom registreer jij een zakelijke domeinnaam? Laat het ons weten!

    Enquete-thumbnail-enquete-banner

    Vul de enquête in van 12 vragen.

    Lees meer
  • vrijdag 15 februari 2019

    Over SIDN

    Veiligheid van slimme apparaten steeds belangrijker

    Smart+home+tumb

    De markt voor smarthomeproducten groeit

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.