Zum Hauptinhalt springen

Neu

Testen Sie die Zustellbarkeit Ihrer E-Mails

Senden Sie eine Test-E-Mail und erhalten Sie in wenigen Sekunden eine vollständige Diagnose Ihrer SPF-, DKIM- und DMARC-Authentifizierung.

  • Echter Versandtest
  • Sofortige Diagnose
  • Ohne Registrierung
Test starten

DANE TLSA Generator

Erstelle TLSA Records zur Absicherung deiner SMTP-Verbindungen

Generiere einen DANE TLSA Record aus deinem TLS-Zertifikat. Wähle den Usage-Typ, den Selector und den Matching Type, füge dein PEM-Zertifikat ein und erhalte einen veröffentlichungsfertigen DNS-Eintrag.

Der Hostname des MX-Servers (nicht die E-Mail-Domain).

Zertifikatquelle

PEM-Zertifikats-Support

Füge dein Zertifikat im Standard-PEM-Format ein. Das Tool extrahiert automatisch die nötigen Daten zur Generierung des TLSA-Hashes.

Alle TLSA-Parameter

Konfiguriere alle 4 Usages (PKIX-TA, PKIX-EE, DANE-TA, DANE-EE), 2 Selectors (Cert, SPKI) und 3 Matching Types (Full, SHA-256, SHA-512).

Kopierfertig

Ein-Klick-Kopie in die Zwischenablage. Enthält den vollständigen DNS-Namen (_25._tcp.hostname) und den Wert des TLSA Records.

Integrierte Validierung

Das PEM-Zertifikat wird vor der Generierung validiert. Erkennung ungültiger Formate, abgelaufener Zertifikate und inkompatibler Schlüssel.

DNSSEC-Deployment-Anleitung

Hinweise und Tipps zur Aktivierung von DNSSEC vor der Veröffentlichung der TLSA Records. DANE funktioniert nicht ohne DNSSEC.

So verwendest du diesen DANE TLSA Generator

In drei Schritten von deinem PEM-Zertifikat zum veröffentlichungsfertigen DNS-Eintrag.

Schritt 1: TLSA-Parameter konfigurieren

Die richtige Parameterwahl entscheidet über Sicherheit und Wartungsaufwand. Für SMTP empfiehlt RFC 7672 diese Kombination:

ParameterEmpfohlener WertGrund
Certificate UsageDANE-EE (3)Keine PKIX-Validierung nötig
SelectorSPKI (1)Übersteht Erneuerungen
Matching TypeSHA-256 (1)Kompakt und sicher
Port25Standard-SMTP-Port

Schritt 2: Zertifikat bereitstellen

Füge dein Zertifikat im PEM-Format ein:

-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQON...
-----END CERTIFICATE-----

So erhältst du das Zertifikat:

# Vom Mailserver per STARTTLS
openssl s_client -connect mail.captaindns.com:25 -starttls smtp 2>/dev/null | openssl x509

# Aus einer Datei auf dem Server
cat /etc/letsencrypt/live/mail.captaindns.com/cert.pem

Schritt 3: Kopieren und veröffentlichen

Der Generator erzeugt einen veröffentlichungsfertigen Record:

_25._tcp.mail.captaindns.com.  IN  TLSA  3 1 1 2bb183af2e2b295b444c1fd4072f2b59a8c1c9abf7f3f1e9b0d4c7e8f1a2b3c4d

Schritt 4: Deployment überprüfen

Nutze unseren DANE TLSA Checker, um zu bestätigen, dass der Record online und korrekt DNSSEC-signiert ist.

Anleitung zu den TLSA-Parametern

Jeder Parameter beeinflusst Sicherheit und Wartungsaufwand deines DANE-Deployments. Hier die Details zu jeder Entscheidung.

Certificate Usage: welchen Typ wählen?

UsageNameWann verwendenZertifikatsrotation
0PKIX-TABekannte CA + PKIX-ValidierungEinfach (selbe CA)
1PKIX-EEExaktes Zertifikat + PKIXSchwierig (DNS-Update)
2DANE-TABekannte CA ohne PKIXEinfach (selbe CA)
3DANE-EEExaktes Zertifikat ohne PKIXMittel (SPKI + Schlüsselwiederverwendung)

Für SMTP ist DANE-EE (3) der Standard. Über 90 % der DANE-fähigen Mailserver verwenden diesen Typ. PKIX-Validierung ist für SMTP nicht erforderlich.

Selector: Cert vs. SPKI

SelectorStabilitätAnwendungsfall
Cert (0)Ändert sich bei jeder ErneuerungStriktes Pinning, automatisierte DNS-Verwaltung
SPKI (1)Stabil bei gleichem SchlüsselEmpfohlen, besonders mit Let's Encrypt

SPKI (1) wird empfohlen, um die Häufigkeit der DNS-Aktualisierungen zu reduzieren.

Matching Type: Full vs. Hash

MatchingRecord-GrößeSicherheit
Full (0)Groß (kann UDP trunkieren)Maximal
SHA-256 (1)64 Hex-ZeichenEmpfohlen
SHA-512 (2)128 Hex-ZeichenLänger, ohne echten Vorteil

SHA-256 (1) ist der Standard. Full (0) kann DNS-Antworten über 512 Bytes erzeugen und UDP-Trunkierungsprobleme verursachen. SHA-512 verdoppelt die Größe ohne messbaren Sicherheitsvorteil.

Wähle deine Parameter im Generator oben und füge dein PEM-Zertifikat ein.

Voraussetzung: DNSSEC

DANE funktioniert nicht ohne DNSSEC. Ohne signierte DNS-Antworten ignoriert jeder MTA deine TLSA Records. Prüfe diese Voraussetzung vor der Veröffentlichung:

DNSSEC prüfen

  1. Stelle sicher, dass dein Registrar DNSSEC unterstützt
  2. Aktiviere die DNSSEC-Signierung bei deinem DNS-Hoster
  3. Füge die DS-Records bei deinem Registrar hinzu
  4. Warte auf die Propagation (kann 24-48 Stunden dauern)

DNS-Anbieter mit DNSSEC

AnbieterDNSSECHinweise
CloudflareJa (automatisch)Ein Klick in den Einstellungen
AWS Route 53JaManuelle Konfiguration erforderlich
OVHJaAktivierung über Manager
Google Cloud DNSJaManuelle Konfiguration
GandiJaAutomatische Aktivierung möglich

Deployment-Strategien

Dein Zertifikats-Workflow bestimmt die richtige DANE-Strategie. Hier die drei gängigsten Szenarien.

Szenario 1: Let's Encrypt mit Schlüsselwiederverwendung

Konfiguration:

# Generierung mit Schlüsselwiederverwendung
certbot certonly --reuse-key -d mail.captaindns.com

# TLSA Record (ändert sich nicht zwischen Erneuerungen)
3 1 1 <sha256-spki>

Vorteil: Der TLSA Record ändert sich nie, solange der Schlüssel wiederverwendet wird.

Szenario 2: Let's Encrypt mit DANE-TA

Konfiguration:

# Let's Encrypt CA pinnen (ISRG Root X1)
2 0 1 <sha256-des-letsencrypt-ca>

Vorteil: Keine DNS-Aktualisierung nötig, solange Let's Encrypt deine Zertifikate signiert.

Szenario 3: Rotation mit doppeltem Record

Vor der Rotation:

_25._tcp.mail.captaindns.com.  TLSA  3 1 1 <hash-aktuelles-cert>
_25._tcp.mail.captaindns.com.  TLSA  3 1 1 <hash-zukünftiges-cert>

Nach der Rotation: Den alten Hash entfernen. Warte mindestens 2× TTL zwischen Veröffentlichung des neuen Records und der Zertifikatsrotation.

DNS-Veröffentlichung nach Anbieter

Hier findest du die Schritt-für-Schritt-Anleitung für die drei häufigsten DNS-Anbieter.

Cloudflare

  1. Gehe zu den DNS-Einstellungen deiner Domain
  2. Füge einen Eintrag hinzu:
    • Typ: TLSA
    • Name: _25._tcp.mail
    • Usage: 3
    • Selector: 1
    • Matching Type: 1
    • Certificate: Dein SHA-256-Hash

AWS Route 53

  1. Öffne die gehostete Zone
  2. Erstelle einen Eintrag:
    • Name: _25._tcp.mail.captaindns.com
    • Typ: TLSA
    • Wert: 3 1 1 <hash>
    • TTL: 3600

OVH / Generisches Format

  1. Gehe zur DNS-Zone
  2. Füge einen Eintrag hinzu:
    • Subdomain: _25._tcp.mail
    • Typ: TLSA
    • Ziel: 3 1 1 <hash>
    • TTL: 3600

Vollständige E-Mail-Sicherheit mit DANE

DANE allein reicht nicht. Für maximalen Schutz des E-Mail-Transports kombiniere DANE mit MTA-STS und TLS-RPT:

1. DANE (Zertifikatsauthentifizierung über DNS)

Verifiziert die Identität des Empfängerservers über DNSSEC.

2. MTA-STS (TLS-Durchsetzung über HTTPS)

Alternative zu DANE ohne DNSSEC.

3. TLS-RPT (Fehler melden)

Meldet TLS-Verbindungsfehler (DANE und MTA-STS).

Empfohlene Deployment-Reihenfolge

Folge dieser Reihenfolge, jeder Schritt baut auf dem vorherigen auf:

  1. DNSSEC auf der Domain aktivieren (Voraussetzung für DANE)
  2. TLSA Records veröffentlichen (mit diesem Generator erstellen)
  3. TLS-RPT konfigurieren, um Fehlerberichte zu erhalten
  4. MTA-STS als zusätzliche Schutzebene hinzufügen (optional, aber empfohlen)
  5. TLS-RPT-Berichte regelmäßig überwachen und auf Fehler reagieren

FAQ - Häufig gestellte Fragen

F: Wie erstelle ich einen DANE TLSA Record?

A: Nutze unseren Generator: Wähle den Usage-Typ (DANE-EE empfohlen), den Selector (SPKI für Stabilität), den Matching Type (SHA-256) und füge dein PEM-Zertifikat ein. Das Tool generiert den vollständigen, veröffentlichungsfertigen DNS-Eintrag.

F: Welchen Certificate Usage sollte ich für DANE wählen?

A: Für die meisten SMTP-Deployments wird DANE-EE (3) mit SPKI-Selector und SHA-256-Matching empfohlen. Für einfachere Zertifikatsrotation verwende DANE-TA (2) mit dem Zertifikat deiner CA.

F: Sollte ich das vollständige Zertifikat oder einen Hash verwenden?

A: Verwende immer einen SHA-256-Hash. Vollständige Daten (Matching Type 0) erzeugen sehr große DNS-Einträge mit Risiko der UDP-Trunkierung. SHA-256 erzeugt einen kompakten 64-Zeichen-String.

F: Was ist der SPKI-Selector?

A: Der SPKI-Selector (1) hasht nur den Public Key des Zertifikats. Der TLSA Record bleibt gültig, wenn du mit demselben Schlüsselpaar erneuerst, im Gegensatz zum Cert-Selector (0), der sich bei jeder Erneuerung ändert.

F: Wie deploye ich einen DANE TLSA Record?

A: 1) Aktiviere DNSSEC, 2) Füge den TLSA unter _25._tcp.deinmailserver hinzu, 3) Warte auf die DNS-Propagation, 4) Prüfe mit unserem DANE TLSA Checker. Der Record muss DNSSEC-signiert sein.

F: Wie gehe ich mit Let's Encrypt-Erneuerungen bei DANE um?

A: Zwei Strategien: DANE-TA (Usage 2) mit dem CA-Zertifikat von Let's Encrypt übersteht Erneuerungen automatisch. DANE-EE (Usage 3) mit SPKI-Selector und --reuse-key in Certbot funktioniert ebenfalls.

Ergänzende Tools

ToolNutzen
DANE TLSA ValidatorSyntax vor der Veröffentlichung validieren
DANE TLSA CheckerRecord nach dem Deployment prüfen
MTA-STS GeneratorMTA-STS-Policy erstellen (alternative TLS-Sicherheit)
TLS-RPT GeneratorReporting für DANE-Fehler aktivieren
E-Mail-Domain-AuditVollständiges E-Mail-Authentifizierungs-Audit

Nützliche Ressourcen