Hallo,
wer mich kennt, weiß ich habe mir sicheren und vertraulichen Transport von E-Mail auf die Fahnen geschrieben. Dazu habe ich u.a. vor ein paar Jahren an DANE mit spezifiziert und Dank einiger unserer ISP-Kunden, die bereit waren DANE zu implementieren, konnten wir bei sys4 dafür sorgen, dass DANE RFC Standard wurde, weil es für ein RFC "rough consensus and running code" https://en.wikipedia.org/wiki/Rough_consensus braucht und die Implementierungen der "running code" waren.
Jetzt könnte man meinen alles wäre \o/ und alle Beteiligten reiten glücklich grinsend in den Sonnenuntergang, weil DANE die Welt rettet. Ist aber nicht, weil ich viele sagen höre für DANE bräuchte man DNSSEC und weil das aus $GRÜNDEN schwierig ist, machen sie einen Bogen drum herum.
Das ist halb richtig und halb falsch und weil ich Sicherheit mit DANE all denen, sie es nutzen können, ermöglichen möchte, ist es mir ein Bedürfnis dieses "richtig/falsch" richtig zu stellen.
Richtig ist: Für DANE muss man seine Domain als DNSSEC-signierte Zone ausliefern wenn man *anderen DANE anbietet*.
Richtig ist aber auch: Wenn man *als Sender DANE nutzen* möchte, muss man überhaupt gar nichts an der eigenen Domain machen.
Die paar Handgriffe, die es dafür braucht, habe ich in „Outbound DANE in 15 Minuten einrichten“ auf https://blog.sys4.de/outbound-dane-mit-postfix-de.html zusammengeschrieben.
Ich hoffe, der Eine oder die Andere wußte das noch nicht, haut jetzt in die Tasten, um den Server für outbound DANE zu aktivieren, und reitet dann grinsend in den Sonnenuntergang. ;-)
p@rick