Die Echtheit einer Website mit DNSSEC erkennen?

Ich kenne keinen Automatismus, der beim Aufrufen einer Website die CT-Logs überprüft. Bei der Übermittlung von Mails zwischen Mailservern findet das ebenfalls nicht statt. Insofern reden wir hier eher von einer theoretischen Hürden, weniger von einer praktischen.
Und ja, du kannst als Betreiber die CT-Logs prüfen. Dumm ist nur, dass ein von einem staatlichen Angreifer gefälschtes Zertifikat nicht in einem CT-Log auftaucht. Es funktioniert also nur der umgekehrte Weg: Der angegriffene Benutzer muss prüfen, ob das ihm präsentierte Zertifikat im CT-Log auftaucht. Und genau diese Prüfung findet nicht statt.
Wenn Du als Angreifer die DNS-Antworten manipulierst, manipulierst bzw. entfernst du natürlich auch die Signatur. Der Angegriffene müsste also wissen, dass der von ihm aufgerufene Dienst DNSSEC verwendet und kann dann feststellen, dass die Signaturen fehlen.
DNSSEC schützt also nicht vor allen Angriffen. DANE auch nicht. So lange DNSSEC nicht flächendeckend genutzt wird, bleibt die Manipulationsmöglichkeit durch Entfernen der Signaturen. Man erwartet ja nicht zwingend DNSSEC. Die Records für DANE kann ich ebenfalls entfernen, schließlich ist es derzeit der Normalfall, dass derartigen Records nicht vorhanden sind.
Und ja, ideal ist beides: DNSSEC, um vor Manipulation zu schützen, DOT oder DOH für die Privatsphäre. Beides kann man wunderbar kombinieren. Dazu dann noch ESNI oder ECH, um ein Maximum an Privatsphäre zu erhalten.

Um auf den Ursprungspost zurückzukommen: DNSSEC schützt nicht vor allen Angriffen. Rufst du einen (unerwünschten) Dienst auf, weil du dich vertippst oder auf einen fehlerhaften bzw. manipulierten Link klickst, bekommst du ein gültiges Zertifikat, welches auch im CT-Log zu finden ist, auch die Einträge im DNS für DNSSEC und DANE sind absolut in Ordnung. Trotzdem bist du mit einem Dienst verbunden, mit dem du eigentlich nicht sprechen wolltest. Eine erfolgreiche Prüfung der DNS-Signaturen reicht also nicht aus, um von der „Echtheit einer Website“ ausgehen zu können.

Ich gehe davon aus dass Leute nicht ihre Bank & Webmailer in der Suchmaschine eingeben sondern ihre Lesezeichen mit den richtigen Adressen verweden.

Aber Chrome traut keinen Zertifikaten die keinen Stempel von anerkannten Transparency Logs haben.Zumindest das Web wäre hier sicher.
Mail-Server untereinander funktionieren vermutlich anders.

Schutz vor Social Engineering und Schutz vor Manipulation auf technischer Ebene sind 2 unterschiedliche Paar Schuhe. Daran besteht kein Zweifel.

Meine Erfahrung ist da anders. Häufig werden keine Lesezeichen verwendet. Ich habe meine Bank schneller über die Adresszeile aufgerufen als das Lesezeichen dafür gesucht und geklickt.
Du kannst auch eine Mail an dein Opfer senden:
„Dein Postfach ist nahezu voll. Um den Verlust von Nachrichten zu verhindern, musst du dein Postfach bereinigen und nicht mehr benötigte Nachrichten löschen sowie den Papierkorb leeren.
Jetzt Postfach bereinigen“
Was meinst du, wie viele auf den Button klicken? Nachdem du die Logindaten für das Postfach eingesammelt hast, leitest du auf die reguläre Loginseite weiter. Das macht kaum jemanden stutzig.
Warum sind Social Engineering und Manipulation auf technischer Ebene zwei unterschiedliche Paar Schuhe? Die Frage, um die es hier geht, ist doch:
„Die Echtheit einer Website mit DNSSEC erkennen?“
Die Frage unterscheidet hier nicht, wie die Website aufgerufen wird. Die Fragestellung unterscheidet auch nicht die unterschiedlichen Manipulationswege.
Ich wiederhole mich: Eine positive Prüfung der Signaturen im DNS stellen nicht sicher, dass du den gewünschten Dienst aufgerufen hast. Wenn Du versuchst mit DNSSEC die „Echtheit einer Website“ zu erkennen, kannst du ganz gehörig auf die Nase fallen. DNSSEC könnte ein Baustein sein, wenn denn DNSSEC weiter verbreitet wäre. Um den Einsatz von Aufmerksamkeit und etwas Menschenverstand kommst du nicht herum. Eine rein technische Prüfung kann dann allenfalls Ergänzung sein.