DANE Record Checker – Kostenlose Suche nach TLSA-Einträgen

Rufen Sie sofort TLSA-Einträge für jede beliebige Domain ab, überprüfen Sie Ihre DANE-DNS-Konfiguration und kontrollieren Sie die Felder zur Zertifikatsnutzung – kostenlos und ohne Anmeldung.
Domain Port Protokoll
Ich suche nach TLSA-Einträgen…
Name der Abfrage
-
Zusammenfassung
Schecks
Hinweis: Der Abgleich von Zertifikats-Hashes erfordert einen aktiven TLS-Handshake und wird von diesem Tool nicht durchgeführt. Der DNSSEC-Status wird über das AD-Flag in den DNS-Antworten überprüft.
Kostenlose DANE-Suche · keine Anmeldung erforderlich

So verwenden Sie den DANE-Datensatzprüfer

1
Geben Sie Ihren Domainnamen ein (z. B. powerdmarc.com) – ohne https://
2
Legen Sie den Port und das Protokoll für den zu überprüfenden Dienst fest. Verwenden Sie 25 / TCP für SMTP-E-Mails, 443 / TCP für HTTPS
3
Klicken Sie auf „Check DANE“ – das Tool löst Ihre MX-Einträge auf, sucht die TLSA-Einträge auf dem richtigen Mail-Host und überprüft alle Feldwerte

Was ist DANE?

DANE (DNS-Based Authentication of Named Entities) ist ein in RFC 6698 definiertes Internet-Sicherheitsprotokoll, das DNSSEC-signierte TLSA-Einträge verwendet, um TLS-Zertifikate mit Domainnamen zu verknüpfen. Anstatt einer Zertifizierungsstelle (CA) zu vertrauen, die für ein Zertifikat bürgt, ermöglicht DANE es Domaininhabern, das erwartete Zertifikat direkt im DNS zu veröffentlichen – gesichert durch DNSSEC.

DANE wird vor allem für die SMTP-E-Mail-Sicherheit eingesetzt, wo es Angreifer daran hindert, E-Mails während der Übertragung mithilfe gefälschter Zertifikate abzufangen. Es kann zudem HTTPS, XMPP, SIP und jedes andere TLS-basierte Protokoll sichern.

Was ist DANE? Vollständiger technischer Leitfaden
Zertifikats-Pinning über DNS
Veröffentlicht den erwarteten Zertifikats-Fingerabdruck im DNS, damit sich verbindende Clients diesen unabhängig von Zertifizierungsstellen überprüfen können.
Verhinderung von MITM-Angriffen
Verhindert Man-in-the-Middle-Angriffe, indem es unmöglich macht, Verbindungen mit gefälschten Zertifikaten abzufangen.
Sichere SMTP-E-Mail-Zustellung
Stellt sicher, dass empfangende Mailserver genau das erwartete TLS-Zertifikat vorlegen – und sorgt so für eine verschlüsselte E-Mail-Übermittlung.
Verhinderung von Downgrade-Angriffen
Verhindert, dass Angreifer Mailserver während der SMTP-Aushandlung dazu zwingen, Klartext oder eine schwächere Verschlüsselung zu verwenden.

Wie funktioniert DANE?

DANE funktioniert so, dass im DNS ein TLSA-Eintrag veröffentlicht wird, der das erwartete TLS-Zertifikat für einen Dienst beschreibt. Wenn ein Client eine Verbindung herstellt, ruft er den TLSA-Eintrag über DNSSEC ab und vergleicht ihn mit dem Zertifikat, das während des TLS-Handshakes vorgelegt wird.

1
TLSA-Eintrag veröffentlichen - Der Domaininhaber erstellt einen TLSA-Eintrag unter _port._protocol.domain mit den erwarteten Zertifikatparametern
2
DNSSEC-validierte DNS-Abfrage – Der verbindende Client führt eine DNSSEC-validierte Abfrage durch, um den TLSA-Eintrag abzurufen und zu authentifizieren
3
Vergleich des TLS-Handshakes – Das vorgelegte Zertifikat wird mit den Zertifikatszuordnungsdaten des TLSA-Eintrags abgeglichen
4
Durchsetzen oder ablehnen – Stimmt das Zertifikat überein, wird die Verbindung hergestellt; andernfalls wird sie abgelehnt, um Missbrauch zu verhindern

Was ist ein TLSA-Eintrag?

Ein TLSA-Eintrag ist der von DANE verwendete DNS-Eintragstyp. Er speichert einen TLS-Zertifikats-Fingerabdruck (oder das vollständige Zertifikat) unter einem bestimmten DNS-Namen, der mit einem Port und einem Protokoll verknüpft ist, sodass jeder sich verbindende Client diesen vor Abschluss des TLS-Handshakes über DNSSEC abrufen und überprüfen kann.

TLSA-Datensätze folgen dieser Namenskonvention:

_[port]._[protocol].[hostname] → e.g. _25._tcp.mail.example.com. IN TLSA 3 1 1 ab12cd34…

Bei SMTP befindet sich der TLSA-Eintrag auf dem MX-Hostnamen – nicht auf der Root-Domain. Aus diesem Grund ermittelt dieses Tool zunächst automatisch die MX-Einträge Ihrer Domain und überprüft anschließend den TLSA-Eintrag auf dem richtigen Host.

Die Felder des TLSA-Datensatzes verstehen

Ein Album wie 3 1 1 <hash> bedeutet DANE-EE, SubjectPublicKeyInfo, SHA-256 – die am häufigsten empfohlene Konfiguration für SMTP-DANE.

Feld Werte Bedeutung
Verwendung des Zertifikats 0 = PKIX-TA · 1 = PKIX-EE · 2 = DANE-TA · 3 = DANE-EE Welches Zertifikat in der Kette soll abgeglichen werden, und ist zudem eine PKIX-CA-Validierung erforderlich?
Selektor 0 = Vollständiges Zertifikat · 1 = SubjectPublicKeyInfo Ob das gesamte Zertifikat oder nur der öffentliche Schlüssel abgeglichen werden soll
Übereinstimmungsart 0 = Exakt · 1 = SHA-256 · 2 = SHA-512 Wie die Zertifikatsdaten im Datensatz kodiert sind
Zertifikatsdaten Hexadezimal kodierte Hash-Werte oder vollständige Zertifikatsbytes Der Fingerabdruck oder das Zertifikat, das mit dem vom Server übermittelten abgeglichen werden soll

Häufige Probleme bei der DANE-DNS-Konfiguration

Die meisten DANE-Fehler lassen sich auf eine Handvoll häufig auftretender Konfigurationsfehler zurückführen. Hier erfahren Sie, worauf Sie achten sollten, wenn die Überprüfung Ihres DANE-Eintrags unerwartete Ergebnisse liefert.

Problem Ursache Auswirkungen
Es wurde kein TLSA-Eintrag gefunden DANE wurde für diesen Port/dieses Protokoll nicht veröffentlicht oder auf dem falschen Hostnamen überprüft DANE kann nicht erzwungen werden; Verbindungen beruhen ausschließlich auf dem Vertrauen in die Zertifizierungsstelle
DNSSEC ist nicht aktiviert TLSA-Einträge ohne DNSSEC können während der Übertragung gefälscht werden DANE-Clients lehnen den TLSA-Eintrag ab oder ignorieren ihn vollständig
Zertifikatskonflikt nach der Erneuerung Das TLS-Zertifikat wurde erneuert, aber der TLSA-Eintrag wurde nicht entsprechend aktualisiert Berechtigte Verbindungen wurden abgelehnt; E-Mail-Zustellung fehlgeschlagen
Ungültige Verwendung/Selektor/Übereinstimmende Felder Feldwerte außerhalb des zulässigen Bereichs oder nicht unterstützte Feldwerte im TLSA-Datensatz Die Validierung schlägt immer fehl, selbst wenn das Zertifikat korrekt ist
Fehlender Rollover-Eintrag Während einer Zertifikatsumstellung wird nur ein TLSA-Eintrag veröffentlicht Ausfallzeit, falls der alte Eintrag entfernt wird, bevor das DNS den neuen Eintrag übernommen hat

Bewährte Verfahren für DANE-Einträge

Rollover-TLSA-Datensätze veröffentlichen
Halten Sie vor der Verlängerung stets einen zweiten TLSA-Eintrag für Ihr bevorstehendes Zertifikat bereit, um Probleme bei der Zustellung zu vermeiden.
Aktivieren Sie zunächst DNSSEC
DANE funktioniert nur, wenn DNSSEC aktiviert ist. Veröffentlichen Sie Ihre TLSA-Einträge erst, nachdem Sie sich vergewissert haben, dass DNSSEC ordnungsgemäß funktioniert.
TLSA vor der Zertifikatserneuerung aktualisieren
Fügen Sie den neuen TLSA-Eintrag vor der Zertifikatsverlängerung zum DNS hinzu, damit die Übertragung rechtzeitig abgeschlossen ist.
TLSA-Einträge kontinuierlich überwachen
Erkennen Sie automatisch Abweichungen zwischen Zertifikaten und TLSA, bevor sie zu Fehlern bei der E-Mail-Zustellung führen.

Häufig gestellte Fragen

Ein TLSA-Eintrag ist ein DNS-Eintragstyp (Typ 52), der von DANE verwendet wird, um ein TLS-Zertifikat oder einen öffentlichen Schlüssel einer bestimmten Domain, einem bestimmten Port und einem bestimmten Protokoll zuzuordnen. Er speichert einen durch DNSSEC gesicherten Zertifikatsfingerabdruck, sodass sich verbindende Clients das Zertifikat während des TLS-Handshakes überprüfen können, ohne auf eine Zertifizierungsstelle angewiesen zu sein.

DANE (DNS-Based Authentication of Named Entities) ist ein Sicherheitsprotokoll, das TLS-Zertifikatsinformationen mithilfe von TLSA-Einträgen direkt im DNS veröffentlicht und durch DNSSEC geschützt ist. Es macht Domaininhaber unabhängig von externen Zertifizierungsstellen, indem es ihnen ermöglicht, genau festzulegen, welchem Zertifikat für ihre Dienste vertraut werden soll.

Verwenden Sie für die SMTP-E-Mail-Übertragung zwischen Mailservern den Port 25 mit TCP. Der TLSA-Eintrag ist veröffentlicht unter _25._tcp.[mx-hostname]. Beachten Sie, dass bei E-Mails die TLSA-Einträge auf dem MX-Hostnamen liegen müssen – nicht auf der Root-Domain. Verwenden Sie den Port 443 / TCP für HTTPS.

Ja, und das wird empfohlen. DANE erzwingt TLS mithilfe von DNSSEC-gebundenen Zertifikaten, währendMTA-STSTLS über eine HTTPS-basierte Richtlinie erzwingt. Durch den Einsatz beider Verfahren wird die Abdeckung maximiert – DANE schützt vor betrügerischen Zertifizierungsstellen, während MTA-STS für sendende Server gilt, die DANE nicht unterstützen.

Ja – DNSSEC ist eine zwingende Voraussetzung für DANE. Ohne DNSSEC könnte jeder einen gefälschten TLSA-Eintrag veröffentlichen, der auf ein bösartiges Zertifikat verweist, wodurch die gesamte Validierung sinnlos würde. DNSSEC versieht Ihre DNS-Einträge mit einer kryptografischen Signatur, sodass Resolver überprüfen können, ob diese nicht manipuliert wurden.

DANE-TA (Trust Anchor, Verwendung 2) stimmt mit einem Zertifikat einer Zwischen- oder Stamm-Zertifizierungsstelle überein – jedes von dieser Zertifizierungsstelle signierte Zertifikat wird die Validierung bestehen. DANE-EE (End Entity, Verwendung 3) gleicht das Zertifikat oder den öffentlichen Schlüssel des Servers direkt ab. Für SMTP ist gemäß RFC 7672 die Konfiguration „Verwendung 3“ mit Selektor 1 (öffentlicher Schlüssel) und Abgleichstyp 1 (SHA-256) empfohlen.

Probieren Sie weitere E-Mail-Authentifizierungstools aus

Verbessern Sie die Sicherheit Ihrer Domain mit unseren kostenlosen Suchtools:

Einem manuell hinzugefügten Link folgen

dmarc record checker icon powerdmarc

SPF-
Generator

Einem manuell hinzugefügten Link folgen

spf-datensatz-nachschlage-symbol powerdmarc

SPF-Eintrag-
Checker

Einem manuell hinzugefügten Link folgen

DKIM-Eintrag-Lookup-Symbol PowerDMARC

DKIM-
Checker

Einem manuell hinzugefügten Link folgen

bimi Satzgenerator-Symbol powerdmarc

BIMI-
Checker

Einem manuell hinzugefügten Link folgen

dmarc Satzgenerator-Symbol powerdmarc

DMARC-
Checker

Überwachen Sie Ihre DANE-Einträge und E-Mail-Sicherheit rund um die Uhr


PowerDMARC überwacht automatisch Ihre TLSA-Einträge, den DNSSEC-Status und Ihre TLS-Zertifikate – und benachrichtigt Sie sofort, sobald ein Problem auftritt oder ein Zertifikat abläuft.


Demo buchen 15-Tage-Testversion starten