-
DKIM ist mehr als nur eine DNS-Einstellung - Warum E-Mail-Sicherheit automatisiert werden muss
| E-Mail-Security |WeiterlesenIm vorherigen Blogbeitrag „Kann ein Newslettertool E-Mails im Namen Ihres CEOs verschicken? Vermutlich schon“ erläuterte Jens ein oft unterschätztes Risiko: Wenn ein externer Anbieter DKIM-Signaturrechte für eine primäre Domain erhält, kann dieser Anbieter technisch gesehen gültige E-Mails für diese Domain signieren.
Ich möchte dieses Thema noch einen Schritt weiterführen. Jens’ Artikel beantwortet bereits die politische Frage: DKIM-Schlüssel für primäre Domains sollten nicht ohne Kontrolle an externe Anbieter weitergegeben werden.
Im realen Betrieb stellt sich jedoch sofort die nächste Frage:
Wie setzen wir DKIM richtig um, wenn wir nicht nur eine Domain, sondern viele Domains – vielleicht sogar Hunderte – über mehrere Mail-Gateways und regelmäßige Schlüsselrotationen hinweg verwalten?
Denn DKIM-Keys sind kryptographische Schlüssel, und sollten (laut BSI TR-02102: müssen!) regelmäßig rotiert werden. Allerdings haben DKIM-Keys im Gegensatz zu Web-Zertifikaten keine eingebaute…
-
Nameserver nur unter einer TLD: Schlechte Idee
Erstellt von Marcel Abts | | DNS / DHCP / IPAM |WeiterlesenWer alle Nameserver unter derselben TLD betreibt, hat weiterhin eine zentrale Abhängigkeit von genau einer Registry und deren DNSSEC-Infrastruktur. Und selbst unterschiedliche TLDs helfen nur eingeschränkt, wenn sie vom gleichen Registry-Betreiber stammen.
Echte Resilienz entsteht erst durch Diversifikation auf mehreren Ebenen:
unterschiedliche TLDs, unterschiedliche Registries, unterschiedliche DNS-Provider, unterschiedliche Infrastrukturen
DNS ist kritische Infrastruktur. Und kritische Infrastruktur braucht echte Redundanz – nicht nur scheinbare.
-
Kann ein Newslettertool E-Mails im Namen Ihres CEOs verschicken? Vermutlich schon
Erstellt von Jens Hoffrichter | | E-Mail-Security |Weiterlesen„Bitte richten Sie den folgenden TXT-Eintrag auf Ihrer Domain ein:
`mailchimp1._domainkey.p-square.digital IN TXT „v=DKIM1; k=rsa; h=sha256; p=MII....“`“Das ist eine Anfrage, die ich schon hunderte Male von externen Anbietern erhalten habe.
Und das ist doch gut, oder? Das macht doch meine E-Mails sicherer. Oder?
Klar – aber wenn ich diesen DNS-Eintrag in meine Zone einfüge, habe ich gerade die kryptografischen Signaturrechte für meine gesamte Domain an ein anderes Unternehmen übergeben.
Dieses Unternehmen kann nun E-Mails als jens.hoffrichter@p-square.digital oder ceo@p-square.digital versenden – ohne mein Wissen, ohne dass es jemand bemerkt. Denn diese E-Mails sind legitim. Kryptografisch signiert. Sie bestehen jede Überprüfung.
Versuchen Sie mal zu beweisen, dass ich sie nicht gesendet habe.
Was DKIM tatsächlich tut
Was Sie gerade im DNS veröffentlicht haben, ist der kryptografische öffentliche Schlüssel für DomainKeys Identified Mail (DKIM). Die andere Seite – in diesem…
-
Warum ultrakurze TTLs nicht (wie erwartet) funktionieren
| DNS / DHCP / IPAMWeiterlesenKurze TTLs werden regelmäßig als schnelle Lösung für DNS-Umstellungen angefragt — 60 Sekunden, 5 Sekunden, manchmal gar keine. Die Logik klingt einleuchtend: IP ändern, sofort sehen.
Das Problem: DNS funktioniert nicht so. Resolver erzwingen eigene Mindestwerte, Clients und Anwendungen cachen unabhängig davon — und am Ende erzeugen kurze TTLs nur mehr Last, aber keine schnellere Propagierung. Was stattdessen hilft: realistische Standardwerte und TTLs, die man gezielt und temporär einsetzt, wenn eine Umstellung konkret bevorsteht.
-
Sicherheitsstrategien für DNS: Angriffspunkte erkennen und minimieren
Erstellt von Jens Hoffrichter | | DNS / DHCP / IPAM |WeiterlesenDNS-Systeme sind die stille Grundlage jeder digitalen Kommunikation. Und genau deshalb sind sie auch ein bevorzugtes Ziel für Angriffe – von DNS-Spoofing bis zu gezielten Zensurmaßnahmen.
-
Wer ist p-square überhaupt und was bieten wir an?
WeiterlesenDie p-square GmbH ist ein IT-Spezialist!
-
-
p-square GmbH ist jetzt TISAX-Teilnehmer
WeiterlesenWir freuen uns, bekannt zu geben, dass die p-square GmbH nun offiziell TISAX-Teilnehmer (Trusted Information Security Assessment Exchange) ist!
-
Netzwerkdokumentation und IP-Management mit NetBox und p-square
WeiterlesenDurch die Zusammenarbeit mit p-square erhalten Kunden eine maßgeschneiderte Netzwerkdokumentationslösung, die Zeit und Ressourcen spart. p-square bietet zudem regelmäßigen Support und Optimierungen, um sicherzustellen, dass NetBox stets optimal funktioniert und die Infrastruktur effizient dokumentiert bleibt.
-
BlueCat und p-square – Gemeinsam zu mehr Netzwerkstabilität und Sicherheit
WeiterlesenSuchen Sie nach einer stabilen, sicheren und zentral verwalteten Netzwerk-Lösung? Als Partner von BlueCat unterstützt p-square Sie bei der Optimierung Ihrer Netzwerkstrukturen.