Am 26.08.2014 19:30, schrieb Patrick Ben Koetter:
- Christian Bricart christian@bricart.de:
hallo zusammen,
in jeglichen Howtos/Folien/etc zu Konfiguration von DANE finde ich immer wieder folgendes:
$ postconf -e "smtpd_use_tls = yes" $ postconf -e "smtp_dns_support_level = dnssec" $ postconf -e "smtp_tls_security_level = dane"
erstens: wieso eigentlich "smtpD_use_tls"..? will ich nicht in den nächsten zwei Zeilen diesen Postfix als CLient konfigurieren?
Der Server soll auch STARTTLS anbieten, damit ein DANE-fähiger Client DANE durchführen kann - vorausgesetzt die Zieldomain ist DNSSEC-enabled, hat TLSA-Einträge UND bietet eben STARTTLS an.
ok - heisst also: - für den Anfang also: erst mal die Sende-Seite - reichen die smtp_* - und schon mal *opportunistisch* für die anderen da draussen anbieten: smtpd_* - drittens: sich langsam mal um einen DNSSEC-fähigen Registrar kümmern und dann den Rest irgenwann mal in dr nächsten Zeit machen..
und zweitens: wenn DANE sowieso erst ab 2.11 möglich ist, warum wird hier eine als seit 2.3 abgekündigte Option wieder eingeführt..? Sollte dort nicht dann immer direkt mit smtp[d]_tls_security_level dokumentiert werden?
ACK. Ich bin auch für smtpd_tls_security_level. Das alte smtpd_use_tls hält sich hartnäckig.
es findet sich u.a. auf *deinen eigenen* Folien ;-) (ok - schieb's auf Carsten ;))
Danke Christian