Zum Inhalt springen

Postfix/DANE: Unterschied zwischen den Versionen

Aus Foxwiki
Die 5 zuletzt angesehenen Seiten:  /dev/null » Systemoptimierung » grep » rpm » Postfix/DANE
Die Seite wurde neu angelegt: „=== DANE (DNSSEC) === ==== Ressourceneintrag ==== '''Warnung''' Dies ist kein trivialer Abschnitt. * Seien Sie sich bewusst, dass Sie sicherstellen, dass Sie wissen, was Sie tun. * Lesen Sie besser [https://dane.sys4.de/common_mistakes Häufige Fehler] vorher [https://wiki.archlinux.org/title/DANE DANE] unterstützt mehrere Arten von Datensätzen, jedoch sind nicht alle für Postfix geeignet. Zertifikatsverwendung 0 wird nicht unterstützt, 1 wird 3…“
 
K Textersetzung - „z. B. “ durch „beispielsweise “
 
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 6: Zeile 6:
* Lesen Sie besser [https://dane.sys4.de/common_mistakes Häufige Fehler] vorher [https://wiki.archlinux.org/title/DANE DANE] unterstützt mehrere Arten von Datensätzen, jedoch sind nicht alle für Postfix geeignet.
* Lesen Sie besser [https://dane.sys4.de/common_mistakes Häufige Fehler] vorher [https://wiki.archlinux.org/title/DANE DANE] unterstützt mehrere Arten von Datensätzen, jedoch sind nicht alle für Postfix geeignet.


Zertifikatsverwendung 0 wird nicht unterstützt, 1 wird 3 zugeordnet und 2 ist optional, daher wird empfohlen, einen „3“-Eintrag zu veröffentlichen.
Zertifikatsverwendung 0 wird nicht unterstützt, 1 wird 3 zugeordnet und 2 ist optional, daher wird empfohlen, einen "3"-Eintrag zu veröffentlichen.
* Mehr zu [https://wiki.archlinux.org/title/DANE#Resource_Record Resource Records].
* Mehr zu [https://wiki.archlinux.org/title/DANE#Resource_Record Resource Records].


Zeile 24: Zeile 24:
   -o smtp_tls_security_level=dane
   -o smtp_tls_security_level=dane


Um domänenspezifische Richtlinien zu verwenden, z. B.
Um domänenspezifische Richtlinien zu verwenden, beispielsweise
* opportunistisches DANE für example.org und obligatorisches DANE für example.com, verwende so etwas:
* opportunistisches DANE für example.org und obligatorisches DANE für example.com, verwende so etwas:
; /etc/postfix/main.cf
; /etc/postfix/main.cf
Zeile 47: Zeile 47:
* Beachten Sie, dass dadurch Postfix tempfail wird (antworten Sie mit a <tt>4.X.X</tt>Fehlercode) auf alle Lieferungen, die überhaupt kein DANE verwenden!
* Beachten Sie, dass dadurch Postfix tempfail wird (antworten Sie mit a <tt>4.X.X</tt>Fehlercode) auf alle Lieferungen, die überhaupt kein DANE verwenden!


Die vollständige Dokumentation finden Sie [http://www.postfix.org/TLS_README.html#client_tls_dane hier].
Die vollständige Dokumentation finden Sie [https://www.postfix.org/TLS_README.html#client_tls_dane hier].


[[Kategorie:Postfix]]
[[Kategorie:Postfix/Sicherheit]]

Aktuelle Version vom 28. April 2025, 10:44 Uhr

DANE (DNSSEC)

Ressourceneintrag

Warnung
Dies ist kein trivialer Abschnitt.
  • Seien Sie sich bewusst, dass Sie sicherstellen, dass Sie wissen, was Sie tun.
  • Lesen Sie besser Häufige Fehler vorher DANE unterstützt mehrere Arten von Datensätzen, jedoch sind nicht alle für Postfix geeignet.

Zertifikatsverwendung 0 wird nicht unterstützt, 1 wird 3 zugeordnet und 2 ist optional, daher wird empfohlen, einen "3"-Eintrag zu veröffentlichen.

Aufbau

Dieser Artikel oder Abschnitt muss erweitert werden.
Begründung: Was bedeutet tempfail ? (Diskutieren Sie im Talk: Postfix )

Opportunistic DANE ist folgendermaßen konfiguriert:

/etc/postfix/main.cf
smtpd_use_tls = ja
smtp_dns_support_level = dnssec
smtp_tls_security_level = Däne
;/etc/postfix/master.cf
dane unix - - n - - smtp
  -o smtp_dns_support_level=dnssec
  -o smtp_tls_security_level=dane

Um domänenspezifische Richtlinien zu verwenden, beispielsweise

  • opportunistisches DANE für example.org und obligatorisches DANE für example.com, verwende so etwas:
/etc/postfix/main.cf
indexed = ${default_database_type}:${config_directory}/
# TLS-Richtlinie pro Ziel
#
smtp_tls_policy_maps = ${indexed}tls_policy
# default_transport = smtp, aber einige Ziele sind speziell:
#
transport_maps = ${indexed}transport
Transport
example.com-Daten
example.org-Daten
tls_policy
example.com nur für Dänen
Hinweis
Für global obligatorisches DANE ändern smtp_tls_security_levelzu dane-only.
  • Beachten Sie, dass dadurch Postfix tempfail wird (antworten Sie mit a 4.X.XFehlercode) auf alle Lieferungen, die überhaupt kein DANE verwenden!

Die vollständige Dokumentation finden Sie hier.