* Christian Bricart christian@bricart.de:
Am 26.08.2014 19:30, schrieb Patrick Ben Koetter:
- Christian Bricart christian@bricart.de:
hallo zusammen,
in jeglichen Howtos/Folien/etc zu Konfiguration von DANE finde ich immer wieder folgendes:
$ postconf -e "smtpd_use_tls = yes" $ postconf -e "smtp_dns_support_level = dnssec" $ postconf -e "smtp_tls_security_level = dane"
erstens: wieso eigentlich "smtpD_use_tls"..? will ich nicht in den nächsten zwei Zeilen diesen Postfix als CLient konfigurieren?
Der Server soll auch STARTTLS anbieten, damit ein DANE-fähiger Client DANE durchführen kann - vorausgesetzt die Zieldomain ist DNSSEC-enabled, hat TLSA-Einträge UND bietet eben STARTTLS an.
ok - heisst also:
- für den Anfang also: erst mal die Sende-Seite - reichen die smtp_*
- und schon mal *opportunistisch* für die anderen da draussen anbieten: smtpd_*
- drittens: sich langsam mal um einen DNSSEC-fähigen Registrar kümmern
und dann den Rest irgenwann mal in dr nächsten Zeit machen..
Genau. Denk daran, dass Dein Server lokal noch einen DNSSEC-fähigen Resolver braucht. Testen geht so:
dig @127.0.0.1 +dnssec sys4.de
Du solltest in den Flags dann ein 'ad' für "authenticated domain' sehen.
und zweitens: wenn DANE sowieso erst ab 2.11 möglich ist, warum wird hier eine als seit 2.3 abgekündigte Option wieder eingeführt..? Sollte dort nicht dann immer direkt mit smtp[d]_tls_security_level dokumentiert werden?
ACK. Ich bin auch für smtpd_tls_security_level. Das alte smtpd_use_tls hält sich hartnäckig.
es findet sich u.a. auf *deinen eigenen* Folien ;-) (ok - schieb's auf Carsten ;))
Mea culpa. Ich hätte besser Korrekturlesen sollen. :/
p@rick