Was ist DANE? DNS-basierte Authentifizierung benannter Entitäten erklärt (2026)

Die DNS-basierte Authentifizierung benannter Entitäten (DANE) ist ein Verfahren zur Überprüfung von TLS-Zertifikaten mithilfe des DNS. Es stützt sich auf DNSSEC- und TLSA-Einträge, um sicherzustellen, dass verschlüsselte Verbindungen nicht abgefangen oder herabgestuft werden.

Das Problem, für dessen Lösung DANE entwickelt wurde

Bei der E-Mail-Übertragung über das Simple Mail Transfer Protocol (SMTP) wird häufig STARTTLS verwendet, um Verbindungen zu verschlüsseln. Das Problem ist, dass STARTTLS opportunistisch ist. Das bedeutet, dass die Verbindung im Falle eines Verschlüsselungsfehlers auf Klartext zurückfallen kann. Diese Herabstufung kann unbemerkt erfolgen, was es Angreifern leicht macht, dieses Verhalten auszunutzen, um E-Mails abzufangen.

Der normale Weg:

Der Angriffsweg:

Es gibt noch ein zweites Problem mit herkömmlichem TLS:

TLS-Zertifikate werden von kommerziellen Zertifizierungsstellen (CAs) validiert. Diese CAs können kompromittiert werden oder Zertifikate fehlerhaft ausstellen. Erlangt ein Angreifer ein gültiges Zertifikat für eine Domain, kann er sich als dieser Server ausgeben.

Diese beiden Probleme ermöglichen Man-in-the-Middle-Angriffe selbst bei Verwendung von TLS. DANE löst beide Probleme, indem es die Zertifikatsvalidierung in das DNS verlagert, das durch DNSSEC gesichert ist. Dadurch wird die Abhängigkeit von externen Zertifizierungsstellen beseitigt und Silent-Downgrade-Angriffe verhindert.

Was ist DANE?

DANE ist ein Internet-Sicherheitsprotokoll, das es Domain-Inhabern ermöglicht, Informationen zu ihren TLS-Zertifikaten mithilfe von TLSA-Einträgen direkt im DNS zu veröffentlichen.

Diese Einträge sind durch DNSSEC geschützt, was Folgendes gewährleistet:

• Die Datensätze können während der Übertragung nicht verändert werden
• Der Client kann überprüfen, ob die Antwort authentisch ist

Anstatt einer externen Zertifizierungsstelle zu vertrauen, vergleicht der Client das Zertifikat mit den von der Domain selbst veröffentlichten Informationen.

So funktioniert DANE: Schritt für Schritt

Schritt 1: Der Domaininhaber veröffentlicht einen TLSA-Eintrag im DNS

Der Domänenadministrator erstellt einen TLSA-Ressourceneintrag (Transport Layer Security Authentication) und veröffentlicht diesen in seiner DNS-Zone. Dieser Eintrag enthält die Zertifikatsdaten, die Clients später zur Überprüfung verwenden werden.

Schritt 2: Die DNS-Zone wird mit DNSSEC signiert

DNSSEC (DNS Security Extensions) signiert die gesamte DNS-Zone kryptografisch, einschließlich des neuen TLSA-Eintrags. Dadurch entsteht eine Vertrauenskette von der DNS-Root-Zone bis hin zu den Einträgen der Domain, wodurch Manipulationen verhindert werden.

Schritt 3: Ein Client stellt eine Verbindung zum Server her und fragt den TLSA-Eintrag ab

Wenn ein Client (z. B. ein Mailserver oder ein Browser) eine TLS-Verbindung zum Server herstellen möchte, fragt er zunächst das DNS nach dem TLSA-Eintrag der Domain ab.

Schritt 4: Der Client überprüft die DNS-Antwort mithilfe von DNSSEC

Bevor der Resolver des Clients dem TLSA-Eintrag vertraut, überprüft er die DNSSEC-Signaturen, indem er die Vertrauenskette nach oben durchläuft.

Schritt 5: Der Server legt sein TLS-Zertifikat vor

Während des TLS-Handshakes sendet der Server sein TLS-Zertifikat an den Client, um seine Identität durch Vorlage seiner Zertifikatskette nachzuweisen.

Schritt 6: Der Client vergleicht das Zertifikat mit dem TLSA-Eintrag

Dies ist der wichtigste Teil der DANE-Prüfung. In diesem Schritt extrahiert der Client den relevanten Teil des Serverzertifikats und vergleicht ihn mit den im TLSA-Eintrag gespeicherten Daten.

Schritt 7: Wenn sie übereinstimmen, wird die Verbindung hergestellt

Wenn die Zertifikatsdaten mit dem TLSA-Eintrag übereinstimmen, ist die DANE-Validierung erfolgreich, wodurch die TLS-Verbindung erfolgreich hergestellt wird.

Schritt 8: Wenn sie nicht übereinstimmen, wird die Verbindung abgelehnt

Wenn das Zertifikat nicht mit dem TLSA-Eintrag übereinstimmt, wertet der Client dies als Sicherheitsfehler aus und lehnt den Abschluss des TLS-Handshakes ab. Dadurch wird verhindert, dass Man-in-the-Middle-Angriffe überhaupt erfolgreich sein können.

Was ist ein TLSA-Eintrag?

Ein TLSA-Eintrag ist ein DNS-Eintrag, der von DANE verwendet wird, um festzulegen, wie ein TLS-Zertifikat validiert werden soll.

The format looks like this: <usage> <selector> <matching-type> <certificate-data>

Beispiel für einen TLSA-Eintrag:

_25._tcp.mail.example.com. IN TLSA 3 1 1 (

2A3F5C7D8E9B1A2C3D4E5F67890123456789ABCDEF1234567890ABCDEF123456
)

Jedes Feld hat eine bestimmte Funktion:

• Verwendung: Legt fest, wie das Zertifikat abgeglichen und als vertrauenswürdig eingestuft werden soll
• Auswahlfeld: Legt fest, welcher Teil des Zertifikats verwendet wird (vollständiges Zertifikat oder öffentlicher Schlüssel)
• Abgleichstyp: Gibt an, wie die Daten gespeichert werden (Vollwert oder Hash)
• Zertifikatsdaten: Der tatsächliche Wert oder Hash, mit dem verglichen werden soll

Werte für die Zertifikatsnutzung

Es gibt vier Anwendungsarten:

0 (PKIX-TA): Vertrauensanker-Einschränkung unter Verwendung traditioneller PKI-
1 (PKIX-EE): Endentitätszertifikat, validiert über PKI-
2 (DANE-TA): Vertrauensanker, definiert durch DNS-
3 (DANE-EE): Endentitätszertifikat, direkt im DNS definiert

Für die E-Mail-Sicherheit sind die Nutzungsstufen 2 und 3 am relevantesten, da sie die Abhängigkeit von öffentlichen Zertifizierungsstellen beseitigen.

Wo TLSA-Datensätze veröffentlicht werden

TLSA-Einträge werden unter bestimmten dienstbezogenen Subdomains veröffentlicht. Für SMTP sieht dies in der Regel wie folgt aus: _25._tcp.mail.example.com

DANE für E-Mail: So sorgt es für Sicherheit bei SMTP

DANE unterstützt den sendenden Server dabei, die Echtheit der Zertifikate des empfangenden Servers zu überprüfen. Diese Überprüfung trägt dazu bei, STARTTLS-Downgrade- und Man-in-the-Middle-Angriffe zu verhindern und somit die SMTP-Kommunikation zu sichern.

DANE erzwingt die Verwendung von TLS bei der E-Mail-Übertragung, wodurch verhindert wird, dass Nachrichten im Klartext versendet oder während der Übertragung manipuliert werden.

Warum DANE DNSSEC benötigt

DANE ist vollständig von der Integrität der DNS-Einträge abhängig. Ohne DNSSEC könnten TLSA-Einträge gefälscht werden, und Angreifer könnten Clients auf bösartige Zertifikate umleiten. Die Abhängigkeit funktioniert wie folgt: DNSSEC signiert DNS-Antworten mithilfe kryptografischer Schlüssel. Dadurch kann der Client überprüfen, ob die Antwort nicht verändert wurde und die Daten authentisch sind. Ohne DNSSEC bietet DANE daher keinen wirklichen Sicherheitsvorteil.

Wer nutzt DANE?

Die Verbreitung von DANE ist weltweit unterschiedlich, wobei die höchsten Einsatzraten bei europäischen Behörden und Organisationen in den USA zu verzeichnen sind. In Branchen, in denen die Vertraulichkeit von E-Mails von entscheidender Bedeutung ist, nimmt die Verbreitung zu. Zu den typischen Anwendern von DANE gehören:

• E-Mail-Administratoren als zusätzliche Authentifizierungs- und Sicherheitsebene
• Behörden in europäischen Ländern und den USA, um den E-Mail-Verkehr im öffentlichen Sektor zu sichern (Beispiel: Die deutsche T-Online nutzt DANE bereits in der Praxis)
• E-Mail-Anbieter wie Comcast, Protonmail usw.
• Microsoft hat angekündigt, ab Juli 2024 DANE für eingehende SMTP-Verbindungen zu unterstützen.

DANE vs. MTA-STS: Was ist der Unterschied?

Sowohl DANE als auch Mail Transfer Agent – Strict Transport Security (MTA-STS) dienen der Sicherung von SMTP-Verbindungen, nutzen jedoch unterschiedliche Vertrauensmodelle. Während MTA-STS auf HTTPS und Zertifizierungsstellen (CA) setzt, stützt sich DANE auf DNSSEC und DNS. Hier sind einige der wichtigsten Unterschiede zwischen den beiden:

Wenn Sie mehr über MTA-STS erfahren möchten, lesen Sie unseren umfassenden Leitfaden zum Thema „Was ist MTA-STS?“. Um zu erfahren, wie Sie MTA-STS in Ihrer Domäne implementieren können, lesen Sie unseren Leitfaden zur MTA-STS-Implementierung.

So funktioniert TLS-RPT in Verbindung mit DANE und MTA-STS

TLS-RPT ist ein Berichtsprotokoll, das Einblick in fehlgeschlagene TLS-Verhandlungen und Zustellungsprobleme bietet, die durch Fehlkonfigurationen von DANE oder MTA-STS verursacht werden. Man kann sich TLS-RPT als eine Transparenzschicht vorstellen, die über DANE und MTA-STS (Sicherheitsschichten) gelegt wird. Während sowohl DANE als auch MTA-STS dazu beitragen, TLS zur Sicherung der E-Mail-Übertragung durchzusetzen, besteht eine entscheidende Lücke hinsichtlich der Klarheit darüber, wann oder warum die Zustellung fehlschlägt.

Hier kommt TLS-RPT ins Spiel. Das SMTP-TLS-Reporting-Protokoll (TLS-RPT) sendet täglich aggregierte Rückmeldungsberichte an die empfangenden Server, die folgende Informationen enthalten:

• Fehler bei der TLS-Aushandlung
• Probleme bei der Zertifikatsvalidierung
• Unstimmigkeiten bei den Richtlinien (MTA-STS oder DANE)
• Fehler bei der Zustellung aufgrund der TLS-Durchsetzung

So überprüfen Sie, ob Ihre Domain über einen DANE-/TLSA-Eintrag verfügt

Um die DANE-Konfiguration zu überprüfen, müssen Sie Folgendes kontrollieren:

• Ob für Ihren Mailserver ein TLSA-Eintrag vorhanden ist
• Ob DNSSEC aktiviert und gültig ist
• Ob das Zertifikat mit dem TLSA-Eintrag übereinstimmt

Sie können den kostenlosen DANE-Record-Checker von PowerDMARC nutzen, um Ihre Konfiguration schnell zu überprüfen.

So implementieren Sie DANE für E-Mails

Um DANE für Ihre E-Mails zu implementieren, können Sie die folgenden Schritte ausführen:

Schritt 1: DNSSEC aktivieren

DANE funktioniert nicht ohne DNSSEC. Daher müssen Sie zunächst DNSSEC über Ihren DNS-Anbieter oder Registrar konfigurieren. Mit unserem DNSSEC-Checker können Sie überprüfen, ob dies für Ihre Domain bereits eingerichtet ist.

Schritt 2: Rufen Sie Ihre TLS-Zertifikatsdaten ab

Entnehmen Sie den Hashwert des Zertifikats oder des öffentlichen Schlüssels von Ihrem Mailserver.

Schritt 3: Erstellen Sie den TLSA-Eintrag

Legen Sie die korrekte Verwendung, den Selektor und den Abgleichstyp fest und veröffentlichen Sie Ihren TLSA-Eintrag anschließend unter der entsprechenden Subdomain.

Schritt 4: Den Datensatz überprüfen

Verwenden Sie unser DANE-Prüftool, um sicherzustellen, dass der Eintrag korrekt ist und DNSSEC funktioniert.

Schritt 5: Zertifikatsänderungen überwachen

Wenn Ihr TLS-Zertifikat erneuert oder geändert wird, muss der TLSA-Eintrag aktualisiert werden. Andernfalls kann es zu Störungen bei der E-Mail-Zustellung kommen.

Abschließende Worte

Falls Sie die Transportschicht Ihrer E-Mails noch nicht mit MTA-STS sichern, kann DANE ein guter Ausgangspunkt sein. Insbesondere in Branchen, die mit sensiblen Daten umgehen, wie Finanzinstitute und Behörden, ist es von entscheidender Bedeutung, Nachrichten vor dem Abfangen zu schützen.

DANE kann jedoch keine Spoofing- oder Phishing-Angriffe unter Verwendung Ihres eigenen Domainnamens verhindern. Hierfür ist DMARC unverzichtbar. Möchten Sie eine umfassende Suite für Domain-Sicherheit, die Ihre E-Mail-Authentifizierung von Anfang bis Ende abdeckt? Vereinbaren Sie noch heute eine Demo mit unseren Experten.

Häufig gestellte Fragen

Ist DANE dasselbe wie DNSSEC?

Nein, DANE und DNSSEC sind nicht dasselbe, auch wenn DANE DNSSEC benötigt, um zu funktionieren. DNSSEC sichert DNS-Einträge, während DANE DNSSEC nutzt, um Zertifikatsinformationen sicher zu veröffentlichen.

Brauche ich sowohl DANE als auch MTA-STS?

Nicht unbedingt, aber die Verwendung beider Protokolle sorgt für eine breitere Kompatibilität und einen besseren Schutz. Insgesamt ist MTA-STS weiter verbreitet als DANE.

Ersetzt DANE SPF, DKIM oder DMARC?

Nein. DANE sichert die Transportschicht, während SPF, DKIM und DMARC für die E-Mail-Authentifizierung und die Verhinderung von Spoofing zuständig sind. Für eine umfassende E-Mail-Sicherheit ist ein mehrschichtiger Ansatz erforderlich, der alle Protokolle mit einer konsequenten Überwachung und regelmäßigen Updates kombiniert.

Was passiert, wenn meine TLSA-Eintragung falsch ist?

Sollte Ihr TLSA-Eintrag fehlerhaft sein, lehnen Mailserver, die DANE erzwingen, Verbindungen ab. Dies kann zu Fehlern bei der E-Mail-Zustellung führen. Es ist wichtig, Ihre DANE-Konfiguration (einschließlich der Gültigkeit Ihres TLSA-Eintrags) zu überprüfen, um etwaige Probleme zu beheben.

Welche E-Mail-Anbieter unterstützen DANE?

Die Unterstützung für DANE ist weltweit unterschiedlich. Einige europäische Anbieter und auf Sicherheit bedachte Organisationen setzen es durch, doch die weltweite Verbreitung ist nach wie vor begrenzt.

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• So fügen Sie eine IP-Adresse zu Ihrem SPF-Eintrag hinzu (Schritt-für-Schritt-Anleitung) – 11. Mai 2026
• Avanan SPF-Eintrag: So richten Sie Ihren SPF für Check Point Harmony Email ein, beheben Fehler und optimieren ihn – 7. Mai 2026
• DNS-SPF-Eintrag: So funktioniert er und wie man ihn einrichtet – 6. Mai 2026