Posteo verwendet seit Mai 2014 die innovative Technologie DANE/TLSA (DNS-based Authentication of Name Entries). DANE eliminiert verschiedene Schwachstellen der weit verbreiteten Transportwegverschlüsselung SSL/TLS – und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten.

Die DANE-Verschlüsselung erfolgt durch Posteo im Hintergrund – Sie selbst müssen nichts tun.

Mit DANE werden die so genannten „digitalen Fingerabdrücke“ eines Verschlüsselungs-Zertifikates im „Telefonbuch“ des Internets (DNS) hinterlegt. Dort können sie von Mailservern, Mailprogrammen und Browsern automatisiert überprüft werden, bevor eine verschlüsselte Verbindung zu einer Seite aufgebaut oder eine E-Mail übertragen wird. So lässt sich die Echtheit eines Servers vor jedem Verbindungsaufbau verifizieren. Bisher senden die meisten Server Daten über verschlüsselte Verbindungen, ohne vorab die Echtheit des anderen Servers verifiziert zu haben. DANE verhindert wirksam, dass Dritte (Kriminelle, Geheimdienste) vortäuschen können, ein bestimmter Web- oder Mailserver zu sein, um an Zugangsdaten oder Inhalte zu gelangen (gefälschte Zertifikate).

Die Einträge im „Telefonbuch“ des Internets werden zusätzlich mit der Technologie DNSSEC abgesichert, damit DANE vertraut werden kann. DNSSEC verhindert, dass Dritte Einträge verändern und die „digitalen Fingerabdrücke“ der Verschlüsselungs-Zertifikate austauschen können. Leider wird DNSSEC von den meisten Domainanbietern noch nicht unterstützt. Auch Posteo musste vor der Einführung von DANE seinen Domainanbieter wechseln.

Verschlüsselte Verbindungen werden erzwungen

DANE eröffnet auch auf anderer Ebene neue Möglichkeiten: Mailserver können ab sofort mit Hilfe eines DANE-Eintrages verschlüsselte Verbindungen erzwingen. Bisher handeln Mailserver vor dem Aufbau jeder Verbindung neu aus, ob beide Partner aktuell eine Verbindungsverschlüsselung unterstützen. Posteo hat seine Server bereits so konfiguriert: Haben andere Mailanbieter auch einen DANE-Eintrag, versendet Posteo an deren Server grundsätzlich nur noch über verschlüsselte Verbindungen. Kommt keine verschlüsselte Verbindung zustande, wird der Mailversand aus Sicherheitsgründen abgebrochen. So lassen sich nicht nur Man-in the-Middle-Attacken verhindern.

Offene, global einsetzbare Alternative zu Verbund “E-Mail Made in Germany”

Das Verfahren ist auch aus folgendem Grund so wichtig: Mit DANE können Mailserver sich weltweit eindeutig authentifizieren – und sich gegenseitig garantieren, dass E-Mails stets über verschlüsselte Verbindungen übertragen werden. Anders als z.B. bei „E-Mail Made in Germany“, einem Verbund weniger deutscher Anbieter, der alle anderen Mailserver außen vor lässt und seinen Nutzern nur untereinander verschlüsselte Verbindungen verspricht. Posteo lehnt diese Art der „Abschottung“ einzelner deutscher Anbieter ab: Ein globales Netz erfordert globale Verbesserungen in der Sicherheit der Kommunikation über einheitliche, offene Standards.

Da die Technologie noch sehr wenig verbreitet ist, gibt es derzeit kaum Programme oder andere Provider, die DANE unterstützen. Wir wollen deshalb mit gutem Beispiel vorangehen, um die Verbreitung dieses wichtigen Verfahrens vorantreiben – DANE wird künftig maßgeblich dazu beitragen, die Kommunikation im Internet wieder sicherer zu machen.

Immerhin: Für alle gängigen Browser gibt es bereits DANE-Addons, mit denen Internetnutzer den Zugriff auf Posteo schon jetzt mit DANE absichern können. Auf folgender Webseite finden Sie eine Liste aller bereits verfügbaren Erweiterungen. Wir können keinen Support für Addons und Prüftools leisten, bitte haben Sie Verständnis.

Direkt implementiert ist die Technologie bisher aber in keinem Browser. Wir hoffen, dass die Hersteller DANE und DNSSEC möglichst bald nachrüsten. Auch möchten wir andere Mailanbieter dazu anregen, DANE zu implementieren, damit die Kommunikation über verschlüsselte Verbindungen zwischen den Mailservern weltweit sicherer wird.

Externe Berichte zu unserer DANE-Einführung

Heise.de: Verschlüsselter Mail-Transport: Posteo setzt als erster Provider DANE ein

Spiegel-Online: E-Mail-Transport: Posteo unterstützt Verschlüsselungstechnik DANE