On 4/11/20 6:03 PM, Walter H. wrote:
On 11.04.2020 14:35, Christian wrote:
Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle spielt.
genau das ist ein Fehler, den viele machen; DANE ist nur ein Add-on, das bereits valididierte zu verifizieren;
Woraus schliesst Du das? Das Gegenteil ist der Fall. DANE ist explizit angetreten, X.509 komplett zu ersetzen.
Zum ursprünglichen Problem:
http://www.postfix.org/TLS_README.html#client_tls_dane
"Therefore, it is strongly recommended (DANE security guarantee void otherwise) that each MTA run a local DNSSEC-validating recursive resolver [..] listening on the loopback interface, and that the system be configured to use only this local nameserver."
Frage an den Original-Poster: Wird von Deinem postfix wirklich ein lokaler DNS-Resolver auf 127.0.0.1 (oder ::1) benutzt?
Ciao, Michael.