DANE (DNS-Based Authentication of Named Entities) ist eine Technik zur Absicherung von verschlüsseltem Mail-Transport. Mit der DANE-Technik werden Schwachstellen des Secure Socket Layer ( SSL)-Protokolls und des Transport Layer Security ( TLS)-Protokolls, die zur Authentifizierung und Verschlüsselung von Internetverbindungen benutzt werden, beseitigt und dadurch die Sicherheit von E-Mails und der Zugriff auf Websites erhöht.
Bei DANE hinterlegt der Mail-Anbieter den digitalen Fingerabdruck des SSL-Zertifikats im DNS-System, in dem die Daten durch die Domain Name System Security Extension ( DNSsec) verschlüsselt werden, die mit kryptografischen Domainnamen arbeitet. DNSsec garantiert die Authentizität des Absenders und verhindert, dass der Domainname manipuliert werden kann. Alle, an der Mail- Kommunikation beteiligte Komponenten wie Mail-Server, Resolver, E-Mail-Client und Web-Browser können damit Zertifikate auf ihre Authentizität hin überprüfen. Das bedeutet, dass vor jedem Verbindungsaufbau die Sicherheitsbedingungen geprü ft werden.
Bei DANE erfolgt beim Mail-Versand zuerst eine verschlüsselte Anfrage, die vom E-Mail-Client verschlüsselt an den Mail-Server, der sie mittels DNSsec an den DNS-Server zur Authentifizierung sendet. Der DNS-Server sendet eine Prüfsumme für den öffentlichen Schlüssel an den Mail-Server, die dieser für den Mail-Transport an den empfangenden Mail-Server benötigt.
Die DANE-Technik verhindert Angriffe auf den Übertragungskanal wie Man-in-the-Middle-Angriffe (MItM). Da auch bei diesem Verfahren die Mails auf den Servern unverschlüsselt sind, müssen diese mit dem S/ MIME- Algorithmus oder mit Pretty Good Privacy ( PGP) verschlüsselt werden.