Postfix/DANE: Unterschied zwischen den Versionen

DANE (DNSSEC)

Ressourceneintrag

Warnung
Dies ist kein trivialer Abschnitt.

• Seien Sie sich bewusst, dass Sie sicherstellen, dass Sie wissen, was Sie tun.
• Lesen Sie besser Häufige Fehler vorher DANE unterstützt mehrere Arten von Datensätzen, jedoch sind nicht alle für Postfix geeignet.

Zertifikatsverwendung 0 wird nicht unterstützt, 1 wird 3 zugeordnet und 2 ist optional, daher wird empfohlen, einen „3“-Eintrag zu veröffentlichen.

• Mehr zu Resource Records.

Aufbau

Dieser Artikel oder Abschnitt muss erweitert werden.
Begründung: Was bedeutet tempfail ? (Diskutieren Sie im Talk: Postfix )

Opportunistic DANE ist folgendermaßen konfiguriert:

/etc/postfix/main.cf

smtpd_use_tls = ja
smtp_dns_support_level = dnssec
smtp_tls_security_level = Däne

;/etc/postfix/master.cf
dane unix - - n - - smtp
  -o smtp_dns_support_level=dnssec
  -o smtp_tls_security_level=dane

Um domänenspezifische Richtlinien zu verwenden, z. B. 

• opportunistisches DANE für example.org und obligatorisches DANE für example.com, verwende so etwas:

/etc/postfix/main.cf

indexed = ${default_database_type}:${config_directory}/

# TLS-Richtlinie pro Ziel
#
smtp_tls_policy_maps = ${indexed}tls_policy

# default_transport = smtp, aber einige Ziele sind speziell:
#
transport_maps = ${indexed}transport
Transport
example.com-Daten
example.org-Daten

tls_policy
example.com nur für Dänen

Hinweis
Für global obligatorisches DANE ändern smtp_tls_security_levelzu dane-only.

• Beachten Sie, dass dadurch Postfix tempfail wird (antworten Sie mit a 4.X.XFehlercode) auf alle Lieferungen, die überhaupt kein DANE verwenden!

Die vollständige Dokumentation finden Sie hier.