8
O365 SMTP Dane und DNSSEC
Hallo zusammen,
ich bin gerade dabei Inbound SMTP Dane und DNSSEC bei meinem privaten Tenant zu aktivieren.
Das klappt soweit auch alles. Allerdings hätte ich dazu eine Verständnisfrage. Muss ich DNSSEC zwingend auch für die Domain bei meinem Hoster aktivieren?
Der DNSSEC Test beim MX Eintrag ist ja grün. Das verwirrt mich gerade ein bisschen.
Die DANE Fehler sind ja laut Microsoft normal, solange wenigstens 1 TLSA Eintrag okay ist.
Danke vorab
ich bin gerade dabei Inbound SMTP Dane und DNSSEC bei meinem privaten Tenant zu aktivieren.
Das klappt soweit auch alles. Allerdings hätte ich dazu eine Verständnisfrage. Muss ich DNSSEC zwingend auch für die Domain bei meinem Hoster aktivieren?
Der DNSSEC Test beim MX Eintrag ist ja grün. Das verwirrt mich gerade ein bisschen.
Die DANE Fehler sind ja laut Microsoft normal, solange wenigstens 1 TLSA Eintrag okay ist.
Danke vorab
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669671
Url: https://administrator.de/forum/o365-smtp-dane-und-dnssec-669671.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
8 Kommentare
Neuester Kommentar
Moin,
ähh DNSSEC betrifft doch ausschliesslich den DNS-Server.
Ein Web-System sollte damit gar nichts zu tun haben.
Quelle: https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
Die Domain Name System Security Extensions (DNSSEC) sind eine Reihe von Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen zur Gewährleistung der Authentizität und Integrität der Daten erweitern.
DANE ist eine Erweiterung für SMTP mit TLSA zusammen.
Quelle: https://dmarcadvisor.com/de/dane-fuer-smtp/
Dies betrifft Deine Mail-Server. Aber keine Web-Server (solange diese keine Mails) senden.
Hast Du SPF, DKIM und DMARC schon?
Stefan
ähh DNSSEC betrifft doch ausschliesslich den DNS-Server.
Ein Web-System sollte damit gar nichts zu tun haben.
Quelle: https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
Die Domain Name System Security Extensions (DNSSEC) sind eine Reihe von Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen zur Gewährleistung der Authentizität und Integrität der Daten erweitern.
DANE ist eine Erweiterung für SMTP mit TLSA zusammen.
Quelle: https://dmarcadvisor.com/de/dane-fuer-smtp/
Dies betrifft Deine Mail-Server. Aber keine Web-Server (solange diese keine Mails) senden.
Hast Du SPF, DKIM und DMARC schon?
Stefan
Ja SPF, DKIM und DMARC nutze ich bereits, hier gehts aber um Transportverschlüsselung.
https://learn.microsoft.com/de-de/purview/how-smtp-dane-works
https://learn.microsoft.com/de-de/purview/how-smtp-dane-works
Moin,
Gruß,
Dani
Muss ich DNSSEC zwingend auch für die Domain bei meinem Hoster aktivieren?
nein. Musst du nicht.Gruß,
Dani
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Muss ich DNSSEC zwingend auch für die Domain bei meinem Hoster aktivieren?
nein. Musst du nicht.Gruß,
Dani
Hast du eine Quelle dazu?
Perplexity sagt mir z.B. das es benötigt wird und der RCA meldet ja auch das DANE übersprungen wird, da DNSSEC nicht aktiv ist.
Moin,
Gruß,
Dani
Hast du eine Quelle dazu?
Ja, lies das RFC dazu.Gruß,
Dani
Microsoft schreibt aber auch das dies aktiviert sein muss.
Gut, stellen wir klar. Man muss es nicht zwingend aktivieren, dann funktioniert es halt einfach nicht. Aktivieren kann ich Dane jedoch bei Microsoft trotzdem.
Gut, stellen wir klar. Man muss es nicht zwingend aktivieren, dann funktioniert es halt einfach nicht. Aktivieren kann ich Dane jedoch bei Microsoft trotzdem.
Moin,
wo liest du da heraus, dass es nicht funktioniert? Da steht "nur", dass man nicht alle Sicherheitsvorteile nutzt.
Relevant ist doch die Domain mx.microsoft.
Gruß,
Dani
wo liest du da heraus, dass es nicht funktioniert? Da steht "nur", dass man nicht alle Sicherheitsvorteile nutzt.
Relevant ist doch die Domain mx.microsoft.
Gruß,
Dani
Zitat von @Dani:
Moin,
wo liest du da heraus, dass es nicht funktioniert? Da steht "nur", dass man nicht alle Sicherheitsvorteile nutzt.
Relevant ist doch die Domain mx.microsoft.
Gruß,
Dani
Moin,
wo liest du da heraus, dass es nicht funktioniert? Da steht "nur", dass man nicht alle Sicherheitsvorteile nutzt.
Relevant ist doch die Domain mx.microsoft.
Gruß,
Dani
Moin,
der RCA meldet ja bereits das die Dane Überprüfung übersprungen wird, da DNSSEC nicht aktiv ist. Und wenn Dane übersprungen wird, findet ja keine Prüfung statt.
