Moin Moin!
Ich bin gerade dabei, zum Testen meine eigene Domain fiene.io mit DNSsec und DANE auszurüsten um das später mit unserer produktiven Domain auch durchführen zu lassen.
Ich versuche mit dem DANE SMTP Validator https://dane.sys4.de <https://dane.sys4.de/> (Danke, sys4!) das Ganze zu testen und weiß, dass da noch nicht alles fertig ist.
Es kann ja jeder mal versuchen: https://dane.sys4.de/smtp/fiene.io <https://dane.sys4.de/smtp/fiene.io> und da fängt schon meine erste Frage an:
Warum ist DNSSEC oben gelb und unten rot?
http://dnssec-debugger.verisignlabs.com/fiene.io <http://dnssec-debugger.verisignlabs.com/fiene.io> zeigt wenigstens, dass DNSsec richtig konfiguriert ist.
Wenn ich auf Show Details klicke, kommt auch keine Erläuterung
Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene(a)veka.com
http://www.veka.com
PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW
VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster
Hi,
First of all, thanks for the DANE validator, it’s a very useful too!
One thing I’ve noticed: I have a domain with two MX records, one of
which is missing a TLSA record. That’s obviously a misconfiguration,
and the validator points that out correctly, however, it seems to ignore
the second MX record:
<https://dane.sys4.de/smtp/lists.zombofant.net>
% dig mx lists.zombofant.net +short
23 io.sotecware.net.
42 mail.sotecware.net.
Is that expected behaviour (stop at earliest error)? I think it’s
confusing and there should at least be some hint that there may be
further MX records. Ideally it would just print both MX records and
test both of them.
-- Leon.
I changed my email address and just want to check my sieve filter is
working.
--
John Allen
KLaM
------------------------------------------
we should be careful not to ascribe to malice what could equally be
explained by incompetence
Hello,
the DANE SMTP validator is great!
Thank you for providing it.
I wish it had been around at the time I enabled DANE ;-)
I'm using delv and posttls-finger to monitor DANE/DNSSEC in the icinga2 monitoring system.
I just uploaded the nagios plugin scripts to github and wrote 2 blog posts about
configuring it.
Github:
https://github.com/benningm/nagios-plugins
Blog:
https://markusbenning.de/blog/
Markus
--
Markus Benning, https://markusbenning.de/