Willkommen im mailbox User Forum
 
Neues Thema
mailbox User ForumThemaProblemAllgemeines
Eigenschaften
Kategorie Allgemeines

Undelivered Mail Returned to Sender - no TLSA records found

zapata hat dies geteilt, 2 Tage her
veröffentlicht

Die betroffenen Domains wurden zu einem E-Mail-Anbieter ohne DNSSEC/DANE-Unterstützung umgezogen. Mailbox meint allerdings weiterhin, dass die Mailserver DANE unterstützen und verweigert die Zustellung: no TLSA records found.

Wie lange dauert das?
Vielleicht kann man dem User die Möglichkeit geben, dass die Domains bei solchen Problemen neu evaluiert werden.

1 Ich habe das gleiche Problem 0  

Antworten (3)

Foto
1
zapata 2 Tage her

Auch nach ca. 36 Stunden und mehreren Testmails, sind die E-Mails weiterhin unzustellbar. Die Anzeige ist noch immer falsch:

0cc97f396ac4b481fec0e31f42bbde85

Eine dritte Domain beim selben Anbieter funktioniert hingegen problemlos.

Antworten
Foto
1
zapata 45 Stunden her

Wieso wird der Status nicht aktualisiert/zurückgesetzt, wenn sich der MX ändert (die Änderung dürfte der mailbox DNS Server ja bereits mitbekommen haben). Unfassbar!

Foto
1
zapata 37 Stunden her

Es funktioniert weiterhin nicht. Bei der dritten Domain wird nur folgendes angezeigt:

69ec083b4cc4d7c320b3f9be6b740c8b

Foto
Foto
2
Peer Heinlein [mailbox.org] 36 Stunden her

Sinn und Zweck ist es, abgesenkte TLS-Sicherheitsmaßnahmen zu erkennen. Dies passiert extrem selten und "eigentlich" will jemand, der erfolgreich TLSA mit DANE & Co eingeführt hat, nicht mehr zu schlechteren unsicheren Methoden zurück. Sehr selten passiert das bei einem Wechsel des Domainregistrars, wenn jemand von einem DNSSEC-Registrar zu einem schlechten Non-DNSSSEC-Registrar wechselt.

Wir expiren die TLSA-Security-Policies in unseren Datenbanken nach <n> Tagen (weiß ich gerade selbst nicht auswendig).

Auf Anfrage und im Einzelfall expired unser Team natürlich auch manuell, wenn sich herrausstellt, dass der Downgrade Absicht ist - und nicht etwa der Effekt einer man-in-the-middle-Manipulation.

Bitte in diesen Einzelfällen ein kurzes Support-Ticket aufmachen, das Postmasterteam überprüft das dann schnell und unkompliziert. Und ansonsten ist ein Block bei einem derartigen Downgrad an dieser Stelle eben intendiert und gerade das erwünschte Verhalten.

Antworten
Foto
1
zapata 35 Stunden her

Danke. Es wurden (allerdings) nur die MX Records geändert.
Und da die meisten E-Mail Anbieter weiterhin kein DNSSEC/DANE anbieten, wird das wohl häufiger vorkommen.

Antworten
Foto
1
zapata 34 Stunden her

Und was macht man als Nicht-Mailbox Kunde, wenn man von euch keine E-Mails mehr empfangen kann? Viele Mailbox Kunden werden vermutlich die Fehlermeldung nicht lesen/verstehen und den Fehler beim Empfangssystem suchen.

Wie gesagt, nur die MX Records wurden verändert und diese sind ja noch signiert. Hier sollte doch schon der Resolver streiken, wenn ein falscher MX vorgegaukelt wird.

Ich werde jetzt beobachten, wie lange das Problem andauert; andere E-Mails kann ich ja weiterhin empfangen.

Foto
2
Peer Heinlein [mailbox.org] 33 Stunden her

Wenn tatsächlich nur die NS-Records geändert wurden, dann würde ja am DNSSEC nichts geändert werden...

Und ansonsten zeigt ein MiM-Problem ja genau das. Bis hin zu einer entführten Domain. Wir detektieren hier ein eventuell bedenkliches, in der Praxis normalerweise nicht zu sehendes Phänomen.

Foto
1
zapata 32 Stunden her

Nein, die NS records wurden nicht geändert; nur MX. NS und MX records sind signiert und wenn der MX sich der MX ändert, ist das offenbar gewollt und kein MiM.

Foto
1
zapata 29 Stunden her

Und wofür gibt es secure.mailbox.org? Dort kann man ja "DANE only" konfigurieren.

Foto
1
zapata 12 Stunden her

Sorry, total absurd.

Foto
1
zapata 4 Stunden her

Sorry, wenn jetzt also jemand meine Domäne übernommen und einen Mailserver mit TLSA records hinterlegt hätte, würde ihr die E-Mails normal zustellen? Ich verstehe nicht vor welchem MiM Szenario ihr da schützen wollt und Ich kenne auch keinen anderen E-Mail Anbieter, der tagelang die E-Mail Zustellung deswegen verweigert. Und die wenigsten E-Mail Anbieter bieten DNSSEC/DANE an.

Foto
1
einuser 1 Stunde her

Für mein Verständnis ist dieses Verhalten wohl daran gekoppelt, dass im Webmailer beim Eingeben der Mailadresse die verwendete Verschlüsselung angezeigt wird. Ich finde gut, dass ich bei wichtigen und datenschutzrelevanten Mails (z.B. Mail an Arzt / Notar / Anwalt / etc.) sehen kann, ob und wie die Mail transportverschlüsselt ist und das dann auch seitens mailbox.org garantiert wird, dass keine schlechtere Verschlüsselung (downgrade) verwendet wird. Für mich ist das so ein bisschen eine Versand-Verschlüsselungs-Garantie light. Leider kann ich bei der eigenen Domain keine richtige Verschlüsselungsgarantie einstellen die auch bei Verwendung des Mailclients funktioniert.

Technisch betroffen sind alle Emfpängeradressen, die von einem sicherheitstechnisch sehr gründlichen Anbieter wie z.B. mailbox.org (es gibt aber auch andere Hostinganbieter, die DANE / DNSSEC anbieten) zu einem etwas weniger peniblen Anbieter wechseln. Praktisch sind das vermutlich nur wenige Privatpersonen oder Kleinstgewerbetreibende. Und diese sind dann auch nicht n Monate gesperrt, sondern offenbar nur n Tage. Klar ist es sehr subjektiv, ob die Ablehnung für n Tage kurz ist oder schon zu lang, aber wären es nicht n Tage, sondern nur n Stunden, dann macht diese Verschlüsselungsgarantie (downgrade-schutz) keinen Sinn, bzw. wäre nicht vernünftig nutzbar.

Ich kann mich in der Zeit in der ich hier bin, und das ist schon eine Weile, nicht erinnern, dass das jemals im Forum hier zu einem Problem oder einer Diskussion geführt hat. Klar, früher war das IMHO wichtiger, da da noch einige Empfänger (auch staatliche Stellen und größere Organisationen) im Klartext kommuniziert haben, und heutzutage ist mir keine seriöse Mailadresse mehr über den Weg gelaufen ist, die nicht mindestens TLS 1.2. verwendet, aber trotzdem finde ich das ein wichtiges Feature ... und sei es nur als Schutz gegen MIM- oder sonstige Angriffe.

Foto
1
zapata 49 Minuten her

1. Es wurden nur die MX Records geändert; diese Records sind signiert (DNSSEC). Wenn die MX Records gleich geblieben wären, und plötzlich der TLSA Record fehlt oder nicht passt, würde ich den Fehler ja noch verstehen.
2. Wenn in der Zeit keine E-Mails an die Domain versendet worden wäre, würde der Fehler überhaupt nicht auftreten.
3. Man kann secure.mailbox.org verwenden und "DANE only" einstellen.
4. Welche Hostinganbieter mit DNSSEC/DANE in EU gibt es? Ich konnte nur wenige finden.
5. Und wie viele Ärzte, Notare, Anwälte, Finanzinstitute, Behörden, etc. verwenden überhaupt DANE/DNSSEC?
6. Wie realistisch ist eine MiM-Attacke in diesem Fall?

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen
You can't vote. Please authorize!