Kosifuchs
Cyber Resilience for SMBs & Non-profits
DE EN
Home IT Security Hardening Monitoring/SOC Email Security Blog Sale Downloads Contact For employers For clients For private Resources Imprint Privacy Login
Blog
Notes, learnings, projects — defensive mindset
Date: 2026-01-01T05:14:55+00:00

DANE & DNSSEC in der Praxis – warum mein Mailserver jetzt wirklich „sicher“ ist

In den letzten Tagen habe ich meinen Mailserver konsequent auf ein Ziel hin gehärtet:
kryptografisch abgesicherte Mailzustellung ohne Vertrauen auf Dritte.
Das Ergebnis:
✅ DNSSEC aktiv
✅ DANE (TLSA) korrekt gesetzt
✅ STARTTLS mit TLS 1.3
✅ erfolgreiche Zustellung von Google & Yahoo
✅ keine Fallbacks, kein Opportunistic-TLS-Ratespiel
Dieser Artikel ist kein Tutorial für Anfänger, sondern ein ehrlicher Praxisbericht, inklusive Stolpersteinen.

Warum DANE überhaupt?
Die meisten Mailserver im Internet nutzen TLS nur „opportunistisch“:
Wenn TLS klappt, gut. Wenn nicht, Pech gehabt.
Das ist besser als Klartext, aber nicht sicher.
DANE ändert das Spiel:
• Das Zertifikat des Mailservers wird direkt im DNS abgesichert
• DNSSEC stellt sicher, dass dieser Eintrag nicht manipuliert wurde
• Ein angreifbarer CA-Trust-Store ist nicht mehr nötig
Kurz gesagt:
👉 DNS sagt, welches Zertifikat korrekt ist, nicht irgendeine CA.

Meine Architektur (Kurzfassung)
• eigener Mailserver (Postfix + Dovecot)
• fester Business-IP-Anschluss
• DMZ-Segmentierung mit zwei OPNsense-Firewalls
• Split-DNS intern / extern
• Let’s Encrypt Zertifikat für mail.kosifuchs.de
Kein Cloud-Relay, kein Smarthost.

Der wichtigste Test: extern & unabhängig
Der entscheidende Moment war nicht ein lokaler Test, sondern dieser:
dig +dnssec TLSA _25._tcp.mail.kosifuchs.de
Ergebnis:
• TLSA-Record vorhanden
• RRSIG vorhanden
• ad-Flag gesetzt
Das bedeutet:
Jeder externe Resolver im Internet kann die TLSA-Information vollständig validieren.
Damit ist DANE real nutzbar, nicht nur theoretisch.

Warum interne Tests oft verwirren
Ein klassischer Stolperstein:
• intern funktioniert alles
• extern schlagen Tools fehl
• trotzdem kommen Mails an
Der Grund ist fast immer:
• Split-DNS
• Hairpin-NAT / NAT-Reflection
• asymmetrisches Routing in DMZ-Setups
Das ist kein Fehler von DANE, sondern ein Netzwerk-Thema.
Der Beweis zählt nur von außen.

Was man nicht braucht
• kein spezielles Client-Tool
• kein Mailprogramm mit DANE-Support
• kein Handy-Check
DANE ist MTA-zu-MTA.
Clients spielen dabei keine Rolle.

Fazit
Mein Mailserver ist jetzt:
• kryptografisch überprüfbar
• resistent gegen TLS-Downgrade
• unabhängig von CA-Trust-Problemen
• auditierbar mit Standard-DNS-Tools
DANE ist kein Marketing-Buzzword,
es funktioniert. Wenn man es richtig macht.

Wenn du selbst einen Mailserver betreibst und wirklich wissen willst,
ob TLS erzwingbar ist und nicht nur „nett wäre“,
dann kommst du an DNSSEC + DANE nicht vorbei.

← Back to list