DANE TLSA: TLS voor mail verankeren in DNSSEC
DANE staat voor DNS-based Authentication of Named Entities. Voor e-mail wordt DANE gebruikt om via DNSSEC te publiceren welk TLS-certificaat of welke publieke sleutel bij een mailserver hoort. Dat gebeurt met TLSA-records.
Waarom DANE voor mail?
SMTP gebruikt historisch opportunistische TLS: als versleuteling beschikbaar is, wordt die gebruikt, maar zonder extra controle kan een aanvaller proberen TLS te downgraden of certificaatcontrole te beïnvloeden. DANE maakt het voor ondersteunende mailservers mogelijk om versleuteling strenger af te dwingen.
Voorwaarde: DNSSEC
DANE vertrouwt op DNSSEC. Zonder correct werkende DNSSEC-keten heeft een TLSA-record geen betrouwbare basis. Daarom moet eerst DNSSEC voor het domein goed zijn ingesteld.
Hoe ziet een TLSA-record eruit?
Voor SMTP op poort 25 staat een TLSA-record meestal onder deze naam:
_25._tcp.mail.example.nlDe waarde beschrijft hoe het certificaat wordt gekoppeld, welke selector gebruikt wordt, welke matching-methode geldt en welke hash of sleutel verwacht wordt.
Wat beschermt DANE?
- Het helpt voorkomen dat mail ongemerkt zonder TLS wordt afgeleverd wanneer TLS verwacht wordt.
- Het koppelt het juiste certificaat of de juiste sleutel aan de mailserver via DNSSEC.
- Het verhoogt de betrouwbaarheid van server-naar-server mailtransport.
Waar moet je op letten?
- DNSSEC moet correct werken voordat je DANE vertrouwt.
- TLSA-records moeten worden bijgewerkt wanneer certificaten of sleutels wijzigen.
- Controleer altijd de volledige keten: MX-record, hostnaam, certificaat en TLSA-record.
- Een fout TLSA-record kan mailbezorging naar je domein verstoren bij verzenders die DANE strikt toepassen.
Professionele mailhosting voor je domein?
BasisHost helpt met veilige zakelijke e-mail, webmail, spamfiltering en correcte DNS-instellingen zoals SPF, DKIM, DMARC en DANE.