Einführung von DNSSEC und DANE im Bayerischen Hochschulnetz

Abstract

Verbindungen zwischen Mailservern über das Simple Mail Transfer Protocol (SMTP) können zur Sicherung des Übertragungskanals TLS-verschlüsselt werden. Die dafür verwendeten Zertifikate basieren auf CA-Vertrauen, sind oft nicht verifizierbar oder schlicht abgelaufen. Im Gegensatz zur TLS-Verschlüsselung im Browser kann hier keine manuelle Autorisierung durch einen Mail-Administrator erfolgen, sondern muss aufgrund der Vielzahl an Mails vom Server automatisiert entschieden werden. DANE (Domain Name System based Authentification of Named Entities) erlaubt die Zuordnung (Pinning) eines Zertifikats über einen Hash im Domain Name System, so dass es einem Domainnamen direkt zugeordnet werden kann. Damit lassen sich Zertifikate verifizieren und authentifizierte TLS-Verbindungen vollautomatisch zwischen Mail Transfer Agents (MTAs) aufbauen. Steigerung der E-Mail Sicherheit in Bayern ist ein durch das Bayerische Wissenschaftsministerium gefördertes Projekt zur Unterstützung der Systemadministratoren der bayerischen Universitäten und Hochschulen bei der Einführung von DNSSEC und darauf aufbauend der TLS-Absicherung der Mailserverkommunikation mittels DANE. Die Unterstützung erfolgt durch Kurse, Referenzimplementierungen, einer Informationsplattform und der Unterstützung durch direkte Ansprechpartner. Wir berichten hier über die technischen Grundlagen, organisatorischen Herausforderungen und bisherige Umsetzung des Projekts.