[postfix-users] DNSSEC für Mailserver richtig einrichten
BTW: Weil es in letzter Zeit immer wieder mal Thema war und mit DANE over SMTP sicherlich noch häufiger Thema sein wird.
Ich habe einen kurzen Blog darüber geschrieben wie man das DNS seines (Mail)server fit für DNSSEC-Abfragen macht:
https://sys4.de/de/blog/2014/05/23/dnssec-fuer-mailserver-richtig-einrichten/
Das ist auch dann schon nützlich, wenn man DANE noch nicht einsetzt!
HTH
p@rick
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
HI p@rick!
Am 24.05.2014 15:01, schrieb Patrick Ben Koetter via postfix-users:
Ich habe einen kurzen Blog darüber geschrieben wie man das DNS seines (Mail)server fit für DNSSEC-Abfragen macht:
Das macht der bind hier bei CentOS 6 out of the box.
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> sys4.de +dnssec ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47703 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 6
Das ist auch dann schon nützlich, wenn man DANE noch nicht einsetzt!
Wenn Du das sagst, dann wird es schon stimmen. ;)
Servus Django - -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django
* Django [BOfH] via postfix-users django@nausch.org:
HI p@rick!
Am 24.05.2014 15:01, schrieb Patrick Ben Koetter via postfix-users:
Ich habe einen kurzen Blog darüber geschrieben wie man das DNS seines (Mail)server fit für DNSSEC-Abfragen macht:
Das macht der bind hier bei CentOS 6 out of the box.
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> sys4.de +dnssec ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47703 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 6
Wenn man einen bind lokal am laufen hat, ist das gut. Ein reiner Resolver wie unbound ist ~ Faktor 10 schneller, falls jemand das braucht und er hat einen angenehm geringen footprint.
Das ist auch dann schon nützlich, wenn man DANE noch nicht einsetzt!
Wenn Du das sagst, dann wird es schon stimmen. ;)
Ich habe auch schon gesagt, es wird garantiert nicht regnen...
Es ist nützlich auch ohne DANE, weil eine Zone, die DNSSEC-signiert ist und nicht validiert, einen SERVFAIL hervorruft und die Records in der Zone dann nicht aufgelöst werden.
Sollte jemand also am DNS der Zone rumgedreht haben, wird Dein Mailserver nichts hinsenden können, weil er keine MX- oder A-Records erhält. Im Zweifel über die Intregrität des Ziels eine feine Sache, wie ich meine.
p@rick
participants (2)
-
Django [BOfH] via postfix-users -
Patrick Ben Koetter via postfix-users