Postfix/DANE: Unterschied zwischen den Versionen
Erscheinungsbild
Die Seite wurde neu angelegt: „=== DANE (DNSSEC) === ==== Ressourceneintrag ==== '''Warnung''' Dies ist kein trivialer Abschnitt. * Seien Sie sich bewusst, dass Sie sicherstellen, dass Sie wissen, was Sie tun. * Lesen Sie besser [https://dane.sys4.de/common_mistakes Häufige Fehler] vorher [https://wiki.archlinux.org/title/DANE DANE] unterstützt mehrere Arten von Datensätzen, jedoch sind nicht alle für Postfix geeignet. Zertifikatsverwendung 0 wird nicht unterstützt, 1 wird 3…“ |
K Textersetzung - „z. B. “ durch „beispielsweise “ |
||
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 6: | Zeile 6: | ||
* Lesen Sie besser [https://dane.sys4.de/common_mistakes Häufige Fehler] vorher [https://wiki.archlinux.org/title/DANE DANE] unterstützt mehrere Arten von Datensätzen, jedoch sind nicht alle für Postfix geeignet. | * Lesen Sie besser [https://dane.sys4.de/common_mistakes Häufige Fehler] vorher [https://wiki.archlinux.org/title/DANE DANE] unterstützt mehrere Arten von Datensätzen, jedoch sind nicht alle für Postfix geeignet. | ||
Zertifikatsverwendung 0 wird nicht unterstützt, 1 wird 3 zugeordnet und 2 ist optional, daher wird empfohlen, einen | Zertifikatsverwendung 0 wird nicht unterstützt, 1 wird 3 zugeordnet und 2 ist optional, daher wird empfohlen, einen "3"-Eintrag zu veröffentlichen. | ||
* Mehr zu [https://wiki.archlinux.org/title/DANE#Resource_Record Resource Records]. | * Mehr zu [https://wiki.archlinux.org/title/DANE#Resource_Record Resource Records]. | ||
Zeile 24: | Zeile 24: | ||
-o smtp_tls_security_level=dane | -o smtp_tls_security_level=dane | ||
Um domänenspezifische Richtlinien zu verwenden, | Um domänenspezifische Richtlinien zu verwenden, beispielsweise | ||
* opportunistisches DANE für example.org und obligatorisches DANE für example.com, verwende so etwas: | * opportunistisches DANE für example.org und obligatorisches DANE für example.com, verwende so etwas: | ||
; /etc/postfix/main.cf | ; /etc/postfix/main.cf | ||
Zeile 47: | Zeile 47: | ||
* Beachten Sie, dass dadurch Postfix tempfail wird (antworten Sie mit a <tt>4.X.X</tt>Fehlercode) auf alle Lieferungen, die überhaupt kein DANE verwenden! | * Beachten Sie, dass dadurch Postfix tempfail wird (antworten Sie mit a <tt>4.X.X</tt>Fehlercode) auf alle Lieferungen, die überhaupt kein DANE verwenden! | ||
Die vollständige Dokumentation finden Sie [ | Die vollständige Dokumentation finden Sie [https://www.postfix.org/TLS_README.html#client_tls_dane hier]. | ||
[[Kategorie:Postfix]] | [[Kategorie:Postfix/Sicherheit]] |
Aktuelle Version vom 28. April 2025, 10:44 Uhr
DANE (DNSSEC)
Ressourceneintrag
Warnung Dies ist kein trivialer Abschnitt.
- Seien Sie sich bewusst, dass Sie sicherstellen, dass Sie wissen, was Sie tun.
- Lesen Sie besser Häufige Fehler vorher DANE unterstützt mehrere Arten von Datensätzen, jedoch sind nicht alle für Postfix geeignet.
Zertifikatsverwendung 0 wird nicht unterstützt, 1 wird 3 zugeordnet und 2 ist optional, daher wird empfohlen, einen "3"-Eintrag zu veröffentlichen.
- Mehr zu Resource Records.
Aufbau
Dieser Artikel oder Abschnitt muss erweitert werden. Begründung: Was bedeutet tempfail ? (Diskutieren Sie im Talk: Postfix )
Opportunistic DANE ist folgendermaßen konfiguriert:
- /etc/postfix/main.cf
smtpd_use_tls = ja smtp_dns_support_level = dnssec smtp_tls_security_level = Däne
;/etc/postfix/master.cf dane unix - - n - - smtp -o smtp_dns_support_level=dnssec -o smtp_tls_security_level=dane
Um domänenspezifische Richtlinien zu verwenden, beispielsweise
- opportunistisches DANE für example.org und obligatorisches DANE für example.com, verwende so etwas:
- /etc/postfix/main.cf
indexed = ${default_database_type}:${config_directory}/
# TLS-Richtlinie pro Ziel # smtp_tls_policy_maps = ${indexed}tls_policy
# default_transport = smtp, aber einige Ziele sind speziell: # transport_maps = ${indexed}transport Transport example.com-Daten example.org-Daten
tls_policy example.com nur für Dänen
Hinweis Für global obligatorisches DANE ändern smtp_tls_security_levelzu dane-only.
- Beachten Sie, dass dadurch Postfix tempfail wird (antworten Sie mit a 4.X.XFehlercode) auf alle Lieferungen, die überhaupt kein DANE verwenden!
Die vollständige Dokumentation finden Sie hier.