XS4ALL heeft onlangs DANE-validatie aangezet voor alle uitgaande mail. Dat betekent dat hun verzendende mail-server smtp.xs4all.nl voor het afleveren van een bericht eerst checkt of er een TLSA record voor mail aanwezig is op het domein van de ontvanger. Is dat inderdaad het geval, dan wordt de hash uit het betreffende record gebruikt om het TLS server-certificaat op de ontvangende mail-server (de MX gateway) te valideren. Behalve dat hiermee het server-certificaat cryptografisch vastgepind wordt via de DNSSEC-infrastructuur, wordt zo ook een downgrade-aanval op de SMTP STARTTLS capability voorkomen.
Soft fail
Tot nu toe staat de mail server bij XS4ALL in soft-fail modus: de Cloudmark Gateway is nu zo geconfigureerd dat een mail-bericht na een DANE-validatiefout na een paar seconden opnieuw wordt aangeboden, maar dan zonder validatie.
"We hopen binnen een aantal weken over te kunnen schakelen naar hard fail, vertelt systeembeheerder Jan-Pieter Cornet."We hebben nu zo'n twee maanden aan log files verzameld. De fouten die we zien betreffen vooral DNSSEC (bijvoorbeeld rare NSEC records, het ongeoorloofde gebruik van CNAMES in MX records, en problemen met wildcard records) en DANE zelf (records die niet matchen met het certificaat). De problemen lijken zich te concentreren bij een handjevol hosters, dus die moeten we gaan benaderen."
DANE voor klantdomeinen
Cornet verwacht dat DANE voor mail een grote vlucht gaat nemen. "DANE voor web zal pas later volgen vanwege de grote weerstand vanuit de CA's, die hun inkomsten zien verdwijnen."
"Wat helpt is dat DANE op de pas-toe-of-leg-uit-lijst (ptolu) ptolu) van het Forum Standaardisatie staat (straks waarschijnlijk ook voor uitgaande mail). "We hebben regelmatig klanten die naar de ptolu-lijst refereren als ze bij ons om DANE vragen. Als dat er eenmaal genoeg zijn om de business case voor klantdomeinen rond te maken, dan kunnen we DANE straks ook in de klant-interface implementeren."