Was ist das?
DANE/TLSA (RFC 6698) bindet ein X.509-Zertifikat an einen DNS-Namen, indem ein Hash über das
Cert (oder dessen SubjectPublicKeyInfo) als DNS-Record veröffentlicht wird. Für SMTP-DANE
(RFC 7672) liegt der Record unter _25._tcp.<mx-host> und erlaubt sendenden
MTAs, MITM-Angriffe auf eingehende Mail zu erkennen. Dieses Werkzeug resolved die MX-Records einer
Domain, probiert STARTTLS gegen jeden MX um das EE-Zertifikat zu greifen, holt die TLSA-Records
via dig und prüft, ob das Cert auf einen der veröffentlichten Records matched.
Wann brauche ich das?
Vor dem ersten TLSA-Record-Roll-out, nach einer Cert-Rotation (um zu bestätigen, dass das TLSA noch passt), oder wenn ein empfangender MTA via TLS-RPT von DANE-Fehlern berichtet. Sinnvoll in Kombination mit dem MTA-STS-Validator für die redundante Policy-Schicht.