DNS-Konfiguration: TLSA

Nicolai

Ich habe mich vor ein paar Tagen, mit folgender Frage, an den Kundensupport von netcup, welcher mir meine Domain bereitstellt, gewendet:

Sehr geehrte Damen und Herren,
derzeit versuche ich mir einen mailcow E-Mailserver einzurichten.
Allerdings scheitere beim Erstellen des TLSA-Eintrags.
Zunächst erstellte ich den Eintrag nach der Vorgabe von mailcow (25.tcp.mail.nicolaiwiehe.de TLSA 3 1 1 Hash).
Nachdem ich etwas im Internet recherchiert hatte, fand ich einen Foreneintrag, in dem gesagt wurde, man solle den TLSA-Einrag ohne Domäne erstellen ( 25.tcp TLSA 3 1 1 Hash).
In beiden Fällen erhalte ich folgende Fehlermeldung: [001.819] TLSA–>25.tcp.mail.nicolaiwiehe.de unresolvable {DNSSEC}
Ich hoffe, sie können mir diesbezüglich weiterhelfen.
Mit freundlichen Grüßen
Nicolai Wiehe

Als Antwort erhielt ich folgende Nachricht:
Guten Tag Herr Wiehe,
vielen Dank für Ihre Anfrage.
Da DNSSEC für Ihre Domain aktiviert ist und nach Überprüfung auch funktioniert, liegt das Problem höchstwahrscheinlich am jeweiligen TLSA-Eintrag.
Wir bitten um Verständnis, dass wir hier nur sehr beschränkt weiterhelfen können, da Mailcow ein externer Dienst ist.
Bitte überprüfen Sie nochmals den DNS Eintrag hierzu. Ein typischer Eintrag hierzu sieht nach kurzer Recherche so aus:
Host: 25.tcp.mail
Typ: TLSA
Destination: 3 1 1 <hash>
Bitte beachten Sie, dass ich hier kein Versprechen geben kann, dass dieser Eintrag auch korrekt ist.
Mit freundlichen Grüßen,
netcup Team

Daher hoffe ich, dass mir diesbezüglich jemand von euch weiterhelfen kann.
Freundliche Grüße Nicolai

accolon

Nicolai In beiden Fällen erhalte ich folgende Fehlermeldung: [001.819] TLSA–>25.tcp.mail.nicolaiwiehe.de unresolvable {DNSSEC}

Woher stammt diese Fehlermeldung? Ich vermute, aus den DNS-Einstellungen von netcup, das ist also, wie TLSA generell, erst mal kein mailcow-spezifisches Problem.

Ich habe in meiner DNS-Konfiguration für meine Domain einen TLSA-Record für _25._tcp.mail angelegt, mail ist dabei der Mailserver.

Wichtig sind die Unterstriche, aufgrund der kursiven 25 in deinem Beitrag vermute ich aber, dass die schon drin sind (das Forum formatiert Text zw. zwei Unterstrichen kursiv).

Wie die Records aussehen sollten und was man dabei beachten sollte, ist hier sehr gut zusammengefasst:
https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_tlsa-record_-_dane

Wie man die Records korrekt anlegt bzw. einträgt, hängt letztlich von den Möglichkeiten deines DNS-Betreibers ab.

Nicolai

Die Fehlermeldung stammt von https://www.checktls.com/.

Ja, die Unterstriche sind drin, die Umformatierung habe ich übersehen, sorry.

accolon

Ah, okay. Der Test versucht, den TLSA-Record aufzulösen und findet dort nichts.

Ein dig _25._tcp.mail.nicolaiwiehe.de IN TLSA bestätigt das – der DNS-Eintrag fehlt oder ist noch nicht überall angekommen.

Nicolai

mailcow DNS schlägt den beigefügten Eintrag vor. Dieser wird aber nicht von mailcow als richtig bewertet.

Im Forum von netcup schrieb jemand, dass man den Eintrag ohne die Angabe des Servers machen soll, zweites Bild.
Bei beiden Einträgen gibt Secure EMail und mailcow aus, dass der Eintrag falsch ist.

sorry, als falsch bewertet

von mailcow als falsch, sorry

Komisch, die Seite spinnt bei mir rum, ich wechsele mal den Browser.

Laut Aussage von netcup ist der Eintrag veröffentlicht (yes).

accolon

Das ist vielleicht ein Missverständnis – die DNS-Seite in der mailcow UI sagt nicht, was du eintragen sollst, sondern zeigt nur an, was eingetragen ist (“Diese Seite ist nur als Hilfsmittel gedacht, um die korrekten Werte für DNS-Einträge anzuzeigen und zu überprüfen, ob die Daten im DNS hinterlegt sind.”)

Wenn du die Screenshots nicht bearbeitet hast, fehlt hinter “3 1 1” tatsächlich der Hashwert – wie das geht, siehe die Doku von Tachtler, die ich oben verlinkt hab.

Nicolai

Ich habe den Wert entfernt, ich bin neu in der Thematik und war mir nicht sicher, ob das sicherheitstechnisch relevante Informationen sind.

Ich habe bei netcup beide Varianten ausprobiert. Die von mailcow vorgeschlagende: 25.tcp.host – TLSA – 3 1 1 hash
und die von netcup vorgeschlagene: 25.tcp. (ohne host) – TLSA – 3 1 1 hash.
Zwischen den Tests habe ich mehre Tage gewartet.
Was seltsam ist, bei einer vorrigen Installation von mailcow funktionierte DANE problemlos, daher bin ich etwas überfragt.
Alles andere ist okay (siehe Bild)

accolon

Die Werte stehen ja öffentlich im DNS, das ist also kein Geheimnis.

Ich vermute aber nach genauem Hinsehen, dein Problem ist folgendes:

% dig _25._tcp.nicolaiwiehe.de IN TLSA 

[...]

;; ANSWER SECTION:
_25._tcp.nicolaiwiehe.de. 43200	IN	TLSA	3 1 1 36C580F60684DE27FDD1F0A7ABAF67DAACB09E46A1E711E5EBD6EA39 D4C6E6FC

Die Records sind für die Hauptdomain tatsächlich veröffentlicht, dein Mailserver läuft aber unter mail.nicolaiwiehe.de. Da sucht auch der Test von CheckTLS.

Du musst also bei netcup _25._tcp.mail reinschreiben (und abwarten).

Nicolai

accolon
Super lieben Dank, daran lag es :-).
Grüße Nicolai

Nicolai

Okay, das probiere ich aus.
Aber erstmal vielen Dank für deine Hilfe und Geduld, das war echt nett von dir :-).