Welche Matching Types werden in TLSA Records unterstützt?

Es gibt drei Matching Types: Vollständiges Zertifikat (0) speichert die kompletten Daten, SHA-256 (1) speichert einen SHA-256-Hash, SHA-512 (2) speichert einen SHA-512-Hash. SHA-256 (1) wird für die meisten Deployments empfohlen.

Wie korrigiere ich eine ungültige TLSA-Syntax?

Häufige Korrekturen: Prüfe, dass die Hex-Daten nur gültige Zeichen enthalten (0-9, a-f), dass die Werte für Usage/Selector/Matching Type im erlaubten Bereich liegen, und dass die Datenlänge zum Matching Type passt (64 Hex-Zeichen für SHA-256, 128 für SHA-512).

DANE TLSA Validator | TLSA Record Syntax prüfen

Was ist DANE TLSA und warum die Syntax validieren?

Ein einziger Tippfehler in deinem TLSA Record kann deine gesamte E-Mail-Sicherheit aushebeln. DANE (DNS-based Authentication of Named Entities) bindet TLS-Zertifikate über DNSSEC-signierte TLSA Records an DNS-Namen. Definiert in RFC 6698, erweitert durch RFC 7671. DANE eliminiert die Abhängigkeit von Zertifizierungsstellen bei der Mailserver-Identifikation.

Warum du die Syntax vor der Veröffentlichung prüfen musst:

Ungültige TLSA Records werden stillschweigend ignoriert, du erfährst es nicht
Ein falscher Usage-Wert schwächt die Sicherheit, statt sie zu stärken
Fehlerhafte Hexadezimaldaten machen den gesamten Record unbrauchbar
Falsche Feldkombinationen führen zu Zustellfehlern bei DANE-fähigen Absendern

Füge deinen Record oben in den Validator ein und prüfe ihn in Sekunden.

TLSA Record-Format erklärt

Jeder TLSA Record besteht aus vier Feldern. Verstehst du diese Felder, erkennst du Fehler sofort.

Grundstruktur

_25._tcp.mail.captaindns.com. IN TLSA 3 1 1 2bb183af...

Feld	Werte	Beschreibung
Certificate Usage	0-3	Art der Zertifikatseinschränkung
Selector	0-1	Zu matchender Teil des Zertifikats
Matching Type	0-2	Vergleichsmethode
Certificate Data	Hex	Zertifikatsdaten oder Hash

Certificate Usage (Feld 1)

Wert	Name	Beschreibung
0	PKIX-TA	CA-Einschränkung: Zertifikat muss von dieser CA signiert UND PKIX-validiert sein
1	PKIX-EE	Zertifikatseinschränkung: exakter Match des Serverzertifikats + PKIX-Validierung
2	DANE-TA	Trust Anchor: akzeptiert jedes von dieser CA signierte Zertifikat
3	DANE-EE	Domain-Zertifikat: exakter Match des Serverzertifikats, keine PKIX-Validierung

Empfehlung: Über 90 % der DANE-Deployments im SMTP-Bereich nutzen DANE-EE (3). Keine PKIX-Validierung nötig, maximale Kontrolle.

Selector (Feld 2)

Wert	Name	Beschreibung
0	Cert	Vollständiges Zertifikat (DER)
1	SPKI	Nur öffentlicher Schlüssel (Subject Public Key Info)

Empfehlung: Wähle SPKI (1). Der Hash bleibt nach der Zertifikatserneuerung gültig, solange du denselben Schlüssel verwendest.

Matching Type (Feld 3)

Wert	Name	Hex-Länge
0	Full	Variabel (vollständiges Zertifikat)
1	SHA-256	64 Zeichen
2	SHA-512	128 Zeichen

Empfehlung: SHA-256 (1) bietet den besten Kompromiss aus Größe und Sicherheit. SHA-512 bringt keinen messbaren Sicherheitsvorteil, verdoppelt aber die Record-Größe.

Prüfe jetzt die Felder deines Records mit dem Validator oben.

Häufige Syntaxfehler

Diese Fehler erkennt unser Validator automatisch. Hier lernst du, sie selbst zu verstehen und zu beheben.

Usage-Wert außerhalb des Bereichs

# Falsch – Usage 4 existiert nicht
3 1 1 2bb183af... → Usage muss 0-3 sein

# Korrekt – DANE-EE (3)
3 1 1 2bb183af...

Ungültige Hex-Daten

# Falsch – Nicht-Hex-Zeichen (G, Z)
3 1 1 2bg183zf...

# Korrekt – nur 0-9, a-f
3 1 1 2bb183af...

Falsche Hash-Länge

# Falsch – SHA-256 muss 64 Hex-Zeichen haben
3 1 1 2bb183

# Korrekt – vollständiger SHA-256-Hash (64 Zeichen)
3 1 1 2bb183af2e2b295b444c1fd4072f2b59a8c1c9abf7f3f1e9b0d4c7e8f1a2b3c4

Inkonsistente Usage/Selector-Kombination

# Achtung – DANE-EE (3) + Cert (0) ändert sich bei jeder Erneuerung
3 0 1 ...

# Empfohlen – DANE-EE (3) + SPKI (1) übersteht Erneuerungen
3 1 1 ...

DANE-Konfiguration für SMTP

Fünf Schritte, um DANE produktionsreif zu deployen. Überspringe keinen - jeder ist kritisch.

Schritt 1: DNSSEC aktivieren

DANE erfordert zwingend DNSSEC auf deiner Domain. Ohne DNSSEC werden TLSA Records von jedem MTA ignoriert, egal wie korrekt die Syntax ist.

Schritt 2: TLSA Record generieren

Nutze unseren DANE TLSA Generator, um einen Record mit den richtigen Parametern zu erstellen.

Schritt 3: Syntax validieren

Füge den Record in diesen Validator ein, um das Format vor der Veröffentlichung zu prüfen.

Schritt 4: Im DNS veröffentlichen

Füge den TLSA Record am richtigen DNS-Ort hinzu: _25._tcp.mail.captaindns.com.

Schritt 5: Deployment überprüfen

Nutze unseren DANE TLSA Checker, um zu bestätigen, dass der Record online und korrekt DNSSEC-signiert ist.

DANE vs. MTA-STS: zwei Ansätze für TLS-Sicherheit

Welcher Ansatz passt zu deiner Infrastruktur? Die Antwort: im Idealfall beide.

Kriterium	DANE	MTA-STS
Mechanismus	DNSSEC + TLSA Records	HTTPS + Text-Policy
Abhängigkeit	DNSSEC erforderlich	HTTPS erforderlich
Vertrauensniveau	Kryptografisch (DNSSEC)	PKI (HTTPS)
Deployment-Komplexität	Komplex (DNSSEC)	Einfacher
Verbreitung	Behörden, Institutionen	Breiter

Beide ergänzen sich. MTA-STS funktioniert ohne DNSSEC. DANE bietet stärkere kryptografische Sicherheit. Deploye beide, wenn möglich: sie schützen vor unterschiedlichen Angriffsszenarien.

FAQ - Häufig gestellte Fragen

F: Was ist ein DANE TLSA Record?

A: Ein DANE TLSA Record ist ein DNS-Eintrag, der ein TLS-Zertifikat über DNSSEC mit einem Domainnamen verknüpft. Er ermöglicht die Zertifikatsverifizierung ohne ausschließliche Abhängigkeit von Zertifizierungsstellen und fügt SMTP-Verbindungen eine zusätzliche Sicherheitsebene hinzu.

F: Was prüft der DANE TLSA Validator?

A: Unser Validator analysiert die TLSA-Syntax: das Feld Certificate Usage (0-3), den Selector (0-1), den Matching Type (0-2) und das Format der Zertifikats-Assoziationsdaten. Er erkennt ungültige Kombinationen und fehlerhafte Hexadezimaldaten.

F: Welche Certificate Usage-Typen gibt es bei TLSA?

A: Es gibt vier Usage-Typen: PKIX-TA (0) CA-Einschränkung, PKIX-EE (1) Dienstzertifikats-Einschränkung, DANE-TA (2) Trust-Anchor-Assertion, DANE-EE (3) domainausgestelltes Zertifikat. DANE-EE (3) ist für SMTP am gebräuchlichsten.

F: Was ist der Unterschied zwischen DANE-TA und DANE-EE?

A: DANE-TA (Usage 2) pinnt eine Zertifizierungsstelle, was Zertifikatsrotation ohne DNS-Aktualisierung ermöglicht. DANE-EE (Usage 3) pinnt das spezifische Serverzertifikat, bietet stärkere Sicherheit, erfordert aber eine DNS-Aktualisierung bei der Erneuerung.

F: Benötigt DANE DNSSEC?

A: Ja, unbedingt. Ohne DNSSEC können TLSA Records nicht authentifiziert werden. Das DANE-Sicherheitsmodell basiert vollständig auf DNSSEC, um die Integrität der DNS-Antworten zu garantieren.

F: Kann ich DANE mit Microsoft 365 oder Google Workspace verwenden?

A: Microsoft 365 unterstützt DANE mit DNSSEC für eingehende E-Mails (Exchange Online). Google Workspace unterstützt DANE für den Empfang noch nicht. Beide Plattformen unterstützen die DANE-Validierung beim Versand an kompatible Empfänger.

Ergänzende Tools

Tool	Nutzen
DANE TLSA Checker	Deployte TLSA Records im DNS überprüfen
DANE TLSA Generator	TLSA Record aus einem Zertifikat erstellen
MTA-STS-Inspektor	MTA-STS-Policy prüfen (alternative TLS-Sicherheit)
TLS-RPT-Inspektor	TLS-Fehler über Berichte überwachen
E-Mail-Domain-Audit	Vollständiges E-Mail-Authentifizierungs-Audit

Nützliche Ressourcen

RFC 6698 - DANE TLSA (Originalspezifikation)
RFC 7671 - Updates to DANE (betriebliche Aktualisierungen)
RFC 7672 - SMTP Security via DANE (DANE für SMTP)
Microsoft - DANE with DNSSEC (Exchange Online-Anleitung)

DANE TLSA Validator

Validiere deine TLSA Records vor der DNS-Veröffentlichung

RFC 6698-Konformität

DNSSEC-Prüfung

Sofortiges Feedback

Detaillierte Diagnose

E-Mail-TLS-Sicherheit