Serie

Infrastruktur-Reihe

Die technischen Bausteine hinter sicherer Kommunikation und Datenhaltung: E-Mail-Authentizität mit SPF, DKIM, DMARC, MTA-STS und DANE, Markenlogos im Posteingang per BIMI, Post-Quantum-TLS mit ML-KEM und X25519-Hybrid nach FIPS 203, Certificate Transparency als Frühwarnsystem, kürzere Zertifikatslaufzeiten samt Automatisierung, die kleinen Response-Header von CSP bis SameSite, und warum die Schlüssel auf eigener statt auf fremder Hardware liegen sollten. Konkrete Verfahren statt Schlagworte.

9 Beiträge · chronologisch · Teil 1 oben

  1. Teil 1
    9 Min

    E-Mail-Authentizität: SPF, DKIM, DMARC, MTA-STS, DANE im Zusammenspiel

    SPF allein schützt nicht, DKIM ohne DMARC auch nicht, und Transport-Sicherheit ohne MTA-STS oder DANE bleibt Vertrauenssache. Welche Schicht was leistet, und wie eine Domain aussieht, die alle fünf sauber konfiguriert.

  2. Teil 2
    2 Min

    Gmail und Yahoo: ab 1. Februar 2024 DMARC-Pflicht für Massenversender

    Seit dem 1. Februar 2024 setzen Gmail und Yahoo SPF/DKIM/DMARC-Mindestanforderungen für Versender mit mehr als 5000 Nachrichten pro Tag durch. Was das für Transaktions- und Newsletter-Mails heißt.

  3. Teil 3
    8 Min

    Post-Quantum-TLS heute: ML-KEM und X25519-Hybrid

    Store-now, decrypt-later ist kein akademisches Szenario. Warum Quantum-resistenter Schlüsselaustausch heute in TLS 1.3 gehört, wie der Hybrid-Modus aussieht und was bei der Einführung so schiefgehen kann.

  4. Teil 4
    8 Min

    Hold Your Own Key: warum der Schlüssel nicht bei Fremden liegen sollte

    BYOK klingt wie HYOK, ist es aber nicht. Was die Modelle unterscheidet, warum ein HSM allein kein HYOK macht, und wie eine belastbare Schlüsselinfrastruktur jenseits des Produktions-Rechenzentrums aussieht.

  5. Teil 5
    2 Min

    FIPS 203 final: ML-KEM als Post-Quantum-Standard verabschiedet

    Das NIST hat am 13. August 2024 FIPS 203 in der finalen Fassung veröffentlicht. ML-KEM ist damit offiziell Post-Quantum-Schlüsselaustausch-Standard; FIPS 204 und 205 ergänzen für Signaturen.

  6. Teil 6
    9 Min

    CSP, SameSite & Co: was die kleinen Response-Header tatsächlich leisten

    Eine Content Security Policy stoppt den Großteil der klassischen XSS- und Datenexfiltrations-Angriffe. SameSite-Cookies entschärfen CSRF. Richtig konfiguriert bilden sie eine zweite Verteidigungsschicht, die nur dann sichtbar wird, wenn die erste versagt. Wie eine strikte, aber praxistaugliche Header-Konfiguration aussieht.

  7. Teil 7
    6 Min

    Certificate Transparency als Frühwarnsystem für Marken- und Fehlausstellungen

    Wie öffentliche CT-Logs Fehl- und Missbrauchsausstellungen von TLS-Zertifikaten sichtbar machen und wie sich daraus ein brauchbares Frühwarnsystem bauen lässt.

  8. Teil 8
    7 Min

    BIMI und VMC - Markenlogos im Posteingang, ohne den Empfänger zu tracken

    Wie BIMI verifizierte Markenlogos in Gmail, Yahoo und Apple Mail bringt, wofür VMC und CMC stehen, welche DMARC-Voraussetzungen gelten und wo die Datenschutzfallen liegen.

  9. Teil 9
    7 Min

    Kürzere Zertifikatslaufzeiten: warum 47 Tage kommen und Automatisierung zur Pflicht wird

    Das CA/Browser Forum senkt die maximale TLS-Zertifikatslaufzeit bis 2029 stufenweise auf 47 Tage. Wir erklären, warum das die Sicherheit erhöht und warum nur Automatisierung per ACME tragfähig bleibt.