[postfix-users] DANE spezifische Konfigurationsparameter (>=2.11)

Patrick Ben Koetter p at sys4.de
Di Aug 26 19:58:44 CEST 2014


* Christian Bricart <christian at bricart.de>:
> Am 26.08.2014 19:30, schrieb Patrick Ben Koetter:
> > * Christian Bricart <christian at bricart.de>:
> >> hallo zusammen,
> >>
> >> in jeglichen Howtos/Folien/etc zu Konfiguration von DANE finde ich immer
> >> wieder folgendes:
> >>
> >> $ postconf -e "smtpd_use_tls = yes"
> >> $ postconf -e "smtp_dns_support_level = dnssec"
> >> $ postconf -e "smtp_tls_security_level = dane"
> >>
> >> erstens: wieso eigentlich "smtpD_use_tls"..?  will ich nicht in den
> >> nächsten zwei Zeilen diesen Postfix als CLient konfigurieren?
> > 
> > Der Server soll auch STARTTLS anbieten, damit ein DANE-fähiger Client DANE
> > durchführen kann - vorausgesetzt die Zieldomain ist DNSSEC-enabled, hat
> > TLSA-Einträge UND bietet eben STARTTLS an.
> 
> ok - heisst also:
> - für den Anfang also: erst mal die Sende-Seite - reichen die smtp_*
> - und schon mal *opportunistisch* für die anderen da draussen
>     anbieten: smtpd_*
> - drittens: sich langsam mal um einen DNSSEC-fähigen Registrar kümmern
> und dann den Rest irgenwann mal in dr nächsten Zeit machen..

Genau. Denk daran, dass Dein Server lokal noch einen DNSSEC-fähigen Resolver
braucht. Testen geht so:

dig @127.0.0.1 +dnssec sys4.de

Du solltest in den Flags dann ein 'ad' für "authenticated domain' sehen.


> >> und zweitens: wenn DANE sowieso erst ab 2.11 möglich ist, warum wird
> >> hier eine als seit 2.3 abgekündigte Option wieder eingeführt..? Sollte
> >> dort nicht dann immer direkt mit smtp[d]_tls_security_level dokumentiert
> >> werden?
> > 
> > ACK. Ich bin auch für smtpd_tls_security_level. Das alte smtpd_use_tls hält
> > sich hartnäckig.
> 
> es findet sich u.a. auf *deinen eigenen* Folien ;-) (ok - schieb's auf
> Carsten ;))

Mea culpa. Ich hätte besser Korrekturlesen sollen. :/

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users