
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<HTML><HEAD><TITLE></TITLE>

<STYLE type="text/css"><!--

BODY {

  margin: 5px 5px 5px 5px;

  background-color: #FFFFFF;

}

/*----------Text Styles----------*/

HR { color: #000000}

BODY, TABLE /* Normal text */

{

 font-size: 12pt;

 font-family: 'Times New Roman';

 font-style: normal;

 font-weight: normal;

 color: #000000;

 text-decoration: none;

}

SPAN.RVTS1 /* Heading */

{

 font-size: 10pt;

 font-family: 'Arial';

 font-weight: bold;

 color: #0000FF;

}

SPAN.RVTS2 /* Subheading */

{

 font-size: 10pt;

 font-family: 'Arial';

 font-weight: bold;

 color: #000080;

}

SPAN.RVTS3 /* Keywords */

{

 font-size: 10pt;

 font-family: 'Arial';

 font-style: italic;

 color: #800000;

}

A.RVTS4, SPAN.RVTS4 /* Jump 1 */

{

 font-size: 10pt;

 font-family: 'Arial';

 color: #008000;

 text-decoration: underline;

}

A.RVTS5, SPAN.RVTS5 /* Jump 2 */

{

 font-size: 10pt;

 font-family: 'Arial';

 color: #008000;

 text-decoration: underline;

}

SPAN.RVTS6

{

 font-size: 9pt;

 font-family: 'courier new';

 font-weight: bold;

 color: #800000;

}

SPAN.RVTS7

{

 font-size: 9pt;

 font-family: 'courier new';

 font-weight: bold;

 color: #800000;

}

/*----------Para Styles----------*/

P,UL,OL /* Paragraph Style */

{

 text-align: left;

 text-indent: 0px;

 padding: 0px 0px 0px 0px;

 margin: 0px 0px 0px 0px;

}

.RVPS1 /* Centered */

{

 text-align: center;

 white-space: normal;

}


--></STYLE>

</HEAD>

<BODY>


<P>Hallo Frank,</P>

<P><BR></P>

<P>Danke für die Wissensteilung. :-)</P>

<P><BR></P>

<P>-- </P>

<P>Gruß</P>

<P>H a ! k o</P>

<P><BR></P>

<P><BR></P>

<P><BR></P>

<P>Nachricht vom Dienstag, 10. Mai 2016, 19:25:00 Uhr:</P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> Hallo Liste,</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> ich habe mich in den letzten Tagen mit der Sicherheit meiner Mailserver</SPAN></P>

<P><SPAN class=RVTS6>KI> beschäftigt. Der Zugriff über TLS/SSL oder STARTTLS hatte schon</SPAN></P>

<P><SPAN class=RVTS6>KI> funktioniert, jetzt war es daran, "perfect forward secrecy" zu</SPAN></P>

<P><SPAN class=RVTS6>KI> gewährleisten. Da ich spamdyke benutze, war dort der Eintrag der</SPAN></P>

<P><SPAN class=RVTS6>KI> erstellten Zertifikate wie auch der Eintrag für den privaten Schlüssel</SPAN></P>

<P><SPAN class=RVTS6>KI> notwendig. Danach hat auch pfs funktioniert.</SPAN></P>

<P><SPAN class=RVTS6>KI> Jetzt wollte ich auch noch DANE zum Laufen bringen. Dazu jetzt die</SPAN></P>

<P><SPAN class=RVTS6>KI> Schritte, die für den DNSSEC nötig waren:</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> 1) Hash aus Zertifikat erstellen</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> openssl x509 -in </SPAN><SPAN class=RVTS7>>.crt -outform DER | openssl sha256</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> die Ausgabe kopieren</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> in der Zonendatei folgenden Eintrag hinzufügen</SPAN></P>

<P><SPAN class=RVTS6>KI>         --> _25._tcp.mail.kowalkowski.org. IN TLSA (3 0 1 </SPAN></P>

<P><SPAN class=RVTS6>HASH>>>) (3 = DANE-EE, 0 = HASH der Zertifikats, 1 = HASH Algorithmus)</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> 2) Zertifikate für Domäne erstellen</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> dnssec-keygen -3 -a RSASHA512 -b 4096 -n ZONE </SPAN><SPAN class=RVTS7>></SPAN></P>

<P><SPAN class=RVTS6>KI> erstellt das Schlüsselpaar für den Zone-Signing-Key (ZSK)</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> dnssec-keygen -a RSASHA512 -b 2560 -f KSK -n ZONE </SPAN><SPAN class=RVTS7>></SPAN></P>

<P><SPAN class=RVTS6>KI> erstellt das Schlüsselppar für den Key-Sighning-Key (KSK)</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> 3) Zertifikate in die Zonendatei einbinden</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> die vier entstandenen Dateien mit den Namen z.B.</SPAN></P>

<P><SPAN class=RVTS6>KI> K</SPAN><SPAN class=RVTS7>.+010+12345.key/private und</SPAN></P>

<P><SPAN class=RVTS6>KI> K</SPAN><SPAN class=RVTS7>.+010+54321.key/private ins Verzeichnis /var/named/dynamic</SPAN></P>

<P><SPAN class=RVTS6>KI> kopieren und für named lesbar machen</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> in die Zonendatei mit $INCLUDE die .key Dateien einbinden</SPAN></P>

<P><SPAN class=RVTS7> </SPAN></P>

<P><SPAN class=RVTS6>KI> 4) in bind dnssec einschalten</SPAN></P>

<P><SPAN class=RVTS6>KI>      -> in der named.conf Datei ändern/eintragen</SPAN></P>

<P><SPAN class=RVTS6>KI>         -> dnssec-enable yes;</SPAN></P>

<P><SPAN class=RVTS6>KI>             dnssec-validation yes;</SPAN></P>

<P><SPAN class=RVTS6>KI>             dnssec-lookaside auto;</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> 5) Sind die Vorbereitungen bis hierher abgeschlossen, wird in das</SPAN></P>

<P><SPAN class=RVTS6>KI> Verzeichnis gewechselt, in welchem sich die Zonen-Dateien befinden (im</SPAN></P>

<P><SPAN class=RVTS6>KI> Beispiel /var/named)</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> 6) Signieren der Zone</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> dnssec-signzone -3 `head -c 512 /dev/urandom | sha1sum | cut -b</SPAN></P>

<P><SPAN class=RVTS6>KI> 1-16` -H 330 -K </SPAN><SPAN class=RVTS7> -t -o </SPAN></P>

<P><SPAN class=RVTS6>KI> </SPAN><SPAN class=RVTS7> (-K Option nur notwendig, wenn Schlüssel im anderen</SPAN></P>

<P><SPAN class=RVTS6>KI> Verzeichnis liegen)</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> bei korrekter Durchführung wird eine Datei mit der Endung .signed</SPAN></P>

<P><SPAN class=RVTS6>KI> erstellt.</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> Datei für Bind lesbar machen</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> 7) in der Konfigurationsdatei von bind für Domänen den Eintrag für</SPAN></P>

<P><SPAN class=RVTS6>KI> </SPAN><SPAN class=RVTS7> anpassen</SPAN></P>

<P><SPAN class=RVTS6>KI>     -> zone "</SPAN><SPAN class=RVTS7>" {</SPAN></P>

<P><SPAN class=RVTS6>KI>         type master;</SPAN></P>

<P><SPAN class=RVTS6>KI>         file "</SPAN><SPAN class=RVTS7>";</SPAN></P>

<P><SPAN class=RVTS6>KI>         key-directory "/var/named/dynamic";</SPAN></P>

<P><SPAN class=RVTS6>KI>         update-policy {</SPAN></P>

<P><SPAN class=RVTS6>KI>           grant </SPAN><SPAN class=RVTS7> name  A AAAA;</SPAN></P>

<P><SPAN class=RVTS6>KI>         };</SPAN></P>

<P><SPAN class=RVTS6>KI>         auto-dnssec maintain;</SPAN></P>

<P><SPAN class=RVTS6>KI>         allow-query { ANY; };</SPAN></P>

<P><SPAN class=RVTS6>KI>         };</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> 8) bind neu starten</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> 9) Schlüssel in der KSK key - Datei kopieren</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> 10) Schlüssel beim Registrar im korrekten Format eintragen</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> Die Erklärung mag an manchen Stellen nicht ganz klar sein, es gibt im</SPAN></P>

<P><SPAN class=RVTS6>KI> Internet auch verschiedene Anleitungen mit durchaus verschiedenen Wegen.</SPAN></P>

<P><SPAN class=RVTS6>KI> Wenn man aber sicher gehen will, dass später DANE funktioniert, ist es</SPAN></P>

<P><SPAN class=RVTS6>KI> wichtig, beide Schlüsselpaare mit RSASHA512 zu erstellen. Ich habe bei</SPAN></P>

<P><SPAN class=RVTS6>KI> meinen Tests die unterschiedlichsten Fehler in Bezug auf DNSSEC</SPAN></P>

<P><SPAN class=RVTS6>KI> bekommen, alle waren im Endeffekt ein Problem mit dem Algorithmus der</SPAN></P>

<P><SPAN class=RVTS6>KI> erstellten Schlüssel oder den eingetragenen NS in der Zonen-Datei.</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> So, vielleicht hat jemand von uns Nutzen an der Anleitung,</SPAN></P>

<P><BR></P>

<P><SPAN class=RVTS6>KI> Grüße Frank</SPAN></P>

<P><SPAN class=RVTS7> </SPAN></P>

<P><BR></P>

<P><BR></P>


</BODY></HTML>