Willkommen im User-Forum von mailbox.org
 

DNSSEC einrichten/DNSKEY?

Sam hat dies geteilt, 9 Monaten her
unbeantwortet

Hey,

ich versuche mich aktuell in das Thema DNSSEC einzulesen.

Vom Support von mailbox.org habe ich die Rückmeldung bekommen, dass ich es bei meinem Domain-Hoster aktivieren müsste (Ticket wurde wenn ich es richtig sehe vom Support auch direkt geschlossen) von meinem Domain-Hoster habe ich die Rückmeldung bekommen, dass sie auf ihren Nameservern kein DNSSEC anbieten, ich aber DNSKEY’s hinterlegen lassen könnte.

Diese DNSKEY’s könnte ich aber vermutlich nicht von mailbox.org bekommen sondern müsste mir nochmal zusätzlich einen externen Anbieter dazu buchen?

Und was ist wenn ich bei meiner Domain kein DNSSEC hinterlegen/aktivieren kann?

Ist dann die Sicherheit deutlich schlechter wie wenn ich nur meine mailbox.org-Mail-Adressen verwenden würde?

EDIT: Achso, ich bin mir unsicher ob das hier die richtige Kategorie ist oder welche besser passen würde.
Kann sehr gerne verschoben werden wenns hier falsch ist. :)

Antworten (1)

Foto
4

Wenn Dein Domain-Anbieter auch im Jahr 2023 kein DNSSEC kann, dann muss man das... äh.... "zur Kenntnis nehmen".

Die DNS-Server Deiner Domain müssen DNSSEC können. Anders geht es nicht. Das sind die DNS-Server des Registrars (der das wohl nicht kann) oder andere Nameserver, die Du betreibst oder extra einkaufst und beim Registrar setzt. Unter dem Strich muss man sich halt fragen, ob es richtig ist, bei diesem Registrar dann seine Domains einzukaufen, wenn er das nicht kann. Hmm.

DNSKEY kannst/brauchst Du nicht setzen. Diese Records sind nur existent, wenn auch DNSSEC aktiviert ist. Es ist absolut belanglos, ob man DNSKEY in einer nicht-DNSSEC-zone setzt, oder nicht: Diese Records werden dann ignoriert. Sie sind ohne DNSSEC - egal ob vorhanden oder nicht vorhanden - schlichtweg nicht existent. Es ist auch keine schlechtere oder andere Sicherheit - sie sind defacto "nicht da". Man kann sich das dann sparen.

Die DNSKEYS sind nur ein willkürlicher Zahlencode. Den kannst/musst Du nicht von uns bekommen, den erzeugt man sich mit passenden Tools. Der DNSKEY hat keinen besonderen Wert, es sind halt zufällt erzeugte "Schlüssel" die man dann dort hinterlegt.

Aber: DNSKEY kannst Du nur setzen

  • mit einem Registrar, der DNSSEC kann
  • mit einem externen Namserver, wo Du das betreibst, der DNSSEC kann

Foto
1

Danke, ich hoffe, dass es okay ist, dass ich ein Ausschnitt von der Antwort vom Domain-Anbieter hier rein kopiere.

Vlt verstehe ich auch irgendwas falsch, da der Anbieter mir das mit den DNSKEYs mitgeteilt hat gehen ich evtl Mal davon aus, sonst muss ich schauen wie ich zu einem anderen Domain-Anbieter wechseln kann und welcher da eher was taugt:


'vielen Dank für Ihre Anfrage. wir bieten auf unseren Nameservern kein DNSSEC an, Sie üssen sich dafür bitte einen externen Anbieter wie zum Beispiel "Cloudflare" suchen.


Wenn eigene Nameserver mit DNSSEC genutzt werden, können die DNSKEY’s für bestimmte Domainendungen über die „Domain-Einstellungnen“ hinterlegt werden.'

Foto
2

Ich verstehe die Antwort auch so, dass kein DNSSEC unterstützt wird. Wie von Peer bereits geschieben, hast du die Wahl entweder Nameserver bei einem Provider einzukaufen (Ja, gibts auch gratis, aber das Prinzip ist das gleiche wie bei gratis Mailanbieter ;-) ), oder deinen Registrar zu wechseln. Die Möglichkeit Nameserver selber zu hosten, lasse ich jetzt mal außen vor.

Den letzten Satz verstehe ich so, dass sie dir die Möglichkeit geben, entsprechende DS-Records in der übergeordneten Zone anzulegen (anders würde es gar nicht gehen). Das brauchst du nur bei externen Nameservern.

Bei einem Provider, der DNSSEC auf seinen eigenen Nameservern beherrscht, ist DNSSEC üblicherweise ein paar wenige Klicks und das wars.

Foto
1

Danke :)


Kann jemand einen guten Domain-Anbieter empfehlen?

Foto
1

Persönlich bin ich bei INWX (sind auch in Berlin) und kann eigentlich nix negatives sagen. Sind nicht die allergünstigsten im deutschen Raum, aber bei <5€/Jahr für eine .de-Domain ist das bei mir auch eher zweitrangig.

Ansonsten gibts Hetzner, netcup und einige mehr.

Foto
1

Laut der Webseite von Hetzner unterstützen die KEIN Dnssec. Ich bin bei INWX und war bei Udmedia. Beide Firmen haben immer zuverlässig Dnssec verarbeitet. Ich hatte aber auch schon bei einem anderen Hoster Probleme mit Dnssec, die Folge war dass die Domain (incl. Mail etc.) nicht mehr erreichbar war.

@Sam: Sofern du den Domain-Anbieter wechselst, informiere dich vorher, ob der neue Anbieter Dnssec stabil und vor allem vollautomatisch unterstützt. Bei INWX ist der Vorteil, dass du Dnssec anschalten und auch wieder ausschalten kannst je nach Bedarf.

Foto
1

Stimmt, sieht tatsächlich so aus, dass Hetzner kein DNSSEC kann (und das auch nicht vorhat). Traurig.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen