Prosody Jabber Server um DANE Validierung erweitern

Mit der Verwendung von DNSSEC für meine Domain ergibt sich die schöne Möglichkeit, TLSA Records im DNS einzutragen, mit denen die DANE Authentifizierung durchgeführt werden kann. Vereinfacht gesprochen garantiert DNSSEC die Echtheit der DNS Einträge einer Domain und mit DANE/TLSA kann überprüft werden, dass für die verschlüsselte Verbindung auch das korrekte Zertifikat verwendet wird.
(mehr …)

SPF und DKIM mit DMARC abrunden

Nachdem ich für meinen Postfix Mail-Server SPF und nun kürzlich DKIM konfiguriert habe, möchte ich die Sache mit DMARC (Domain-based Message Authentication, Reporting and Conformance) abrunden. Mit SPF lässt sich verhindern, dass andere Mail-Server meine Domain als Absender verwenden. DKIM hingegen dient dazu, die E-Mails zu signieren, damit der Empfänger prüfen kann, dass die E-Mail tatsächlich vom Absender(-server) stammt und nicht unterwegs verändert wurde.
(mehr …)

Mit OpenDKIM und Postfix E-Mails signieren und verifizieren

Es gibt jede Menge zusätzliche Validierungs- und Authentifizierungsmechanismen, die ein Mail-Server verwenden kann. Um zu gewährleisten, dass eine E-Mail tatsächlich von dem richtigen Mail-Server stammt, wurden DomainKeys Identified Mail (DKIM) Signaturen eingeführt, welche in den Header einer E-Mail platziert werden und vom Empfangenden Mail-Server verifiziert werden können. Als treuer Postfix Nutzer möchte ich kurz die notwendigen Schritte zeigen, damit Postfix erstens Mails mit einer DKIM Signatur verifiziert und zweitens selbst ausgehende E-Mails signiert.
(mehr …)

Das BSI definiert Richtlinie für sicheren E-Mail-Transport

Erfreulicherweise beschäftigt sich auch das Bundesministerium für Sicherheit in der Informationstechnik mit sicherem E-Mail Transport. Kürzlich wurde hierfür eine Richtlinie veröffentlicht, die Voraussetzungen für den sicheren Transport von E-Mails festlegt. E-Mail Diensteanbieter sollen sich zukünftig hiernach zertifizieren lassen können, aber auch ohne Zertifizierung sollte sich jeder Betreiber von Mail-Servern diese Richtlinie mal genauer ansehen.
(mehr …)

Webseiten zur Überprüfung der Sicherheit öffentlicher Dienste im Internet

Behaupten, dass etwas aktuellen Sicherheitsstandards entspricht, kann jeder. Es selbst zu überprüfen, ist leider meistens gar nicht so einfach. Wer also keine SSL Verbindungen auf der Konsole überprüfen oder manuell nach noch nicht gestopften Sicherheitslücken suchen möchte, der kann hierfür einige Webseiten verwenden.
(mehr …)

DNSSEC mit PowerDNS und Poweradmin

Nachdem ich zu Hause nun mit Unbound endlich DNSSEC validierende DNS Server habe, wollte ich nun auch eigene Domanis bzw. DNS Zonen mit DNSSEC signieren. Auch wenn es bisher noch wenig mit DNSSEC signierte Domains gibt, wächst der Anteil und vielleicht wird es irgendwann so selbstverständlich, wie eine mit SSL verschlüsselte HTTPS Verbindung. Ich betreibe, eigentlich nur aus Spaß an der Freude, authorative DNS Server für meine Domains. Ich nutze hierfür PowerDNS und Poweradmin und möchte kurz anreißen, welche Schritte für die DNSSEC signierung notwendig sind.
(mehr …)