TLSA-Record überprüfen

Veröffentlicht am 16. März 202518. März 2025 von alexnolte

Du hast DNSSEC erfolgreich installiert und möchtest regelmäßig deinen TLSA-Record für die Mailzustellung prüfen? Gerade bei der Verwendung von Let’s Encrypt Zertifikaten ändern sich die HASH-Werte im DNS. Wenn du das nicht beachtest oder es nicht mitbekommst, wird die Absicherung deines Mailservers mit DANE ungültig. Das wollen wir natürlich vermeiden.

Also erstellen wir ein Script, das uns informiert, wenn es Abweichungen gibt. Ich speichere das Script in /opt/scripts/dnssec und nenne es tlsa.sh.

#!/bin/bash

# Usage: ./tlsa.sh <hostname> <port> <protocol> [<nameserver>]
# Example: ./tlsa.sh mx.mein-mail-server.de 25 tcp 8.8.8.8

if [ "$#" -lt 3 ] || [ "$#" -gt 4 ]; then
    echo "Usage: $0 <hostname> <port> <protocol> [<nameserver>]"
    exit 1
fi

HOSTNAME=$1
PORT=$2
PROTO=$3
NAMESERVER=$4
EMAIL="your-email@example.com"  # Set your email address here

# Check if required tools are installed
for cmd in openssl dig xxd mail; do
    if ! command -v $cmd &>/dev/null; then
        echo "Error: '$cmd' is not installed. Install it and try again."
        exit 1
    fi
done

# Format the hostname for TLSA query
TLSA_HOSTNAME="_${PORT}._${PROTO}.${HOSTNAME}"

# Get the TLSA record from DNS (with optional NS)
if [ -n "$NAMESERVER" ]; then
    TLSA_RECORD=$(dig +short @${NAMESERVER} TLSA $TLSA_HOSTNAME | awk '{print $4 $5 $6 $7}')
else
    TLSA_RECORD=$(dig +short TLSA $TLSA_HOSTNAME | awk '{print $4 $5 $6 $7}')
fi

if [ -z "$TLSA_RECORD" ]; then
    echo "Error: No TLSA record found for $TLSA_HOSTNAME"
    exit 1
fi

echo "TLSA-Record: $TLSA_RECORD"

# Retrieve the certificate from the server and calculate the public key hash
CALCULATED_HASH=$(echo | openssl s_client -connect $HOSTNAME:$PORT -starttls smtp -showcerts 2>/dev/null | \
    awk '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/' | \
    openssl x509 -pubkey -noout | openssl pkey -pubin -outform DER | \
    openssl dgst -sha256 -binary | xxd -p -c 32)

echo "Calculated Hash: $CALCULATED_HASH"

# Convert both hashes to lowercase for comparison
TLSA_RECORD_LOWER=$(echo "$TLSA_RECORD" | tr '[:upper:]' '[:lower:]')
CALCULATED_HASH_LOWER=$(echo "$CALCULATED_HASH" | tr '[:upper:]' '[:lower:]')

# Compare calculated hash with TLSA record
if [ "$CALCULATED_HASH_LOWER" == "$TLSA_RECORD_LOWER" ]; then
    echo "✅ TLSA record matches the certificate!"
else
    echo "❌ TLSA record does NOT match the certificate!"
    echo -e "Subject: TLSA Record Mismatch\n\nThe TLSA record for $HOSTNAME on port $PORT ($PROTO) does not match the calculated hash." | mail -s "TLSA Record Mismatch" $EMAIL
fi

Anschließend lassen wir das Script relgelmäßig per cron laufen

crontab -e
###
0 4 * * * /opt/scripts/dnssec/tlsa.sh

TLSA-Record überprüfen

Schreibe einen Kommentar Antworten abbrechen

Neueste Beiträge

Neueste Kommentare

Archive