[postfix-users] DANE spezifische Konfigurationsparameter (>=2.11)

[Christian Bricart]

Am 26.08.2014 19:30, schrieb Patrick Ben Koetter:
> * Christian Bricart <christian at bricart.de>:
>> hallo zusammen,
>>
>> in jeglichen Howtos/Folien/etc zu Konfiguration von DANE finde ich immer
>> wieder folgendes:
>>
>> $ postconf -e "smtpd_use_tls = yes"
>> $ postconf -e "smtp_dns_support_level = dnssec"
>> $ postconf -e "smtp_tls_security_level = dane"
>>
>> erstens: wieso eigentlich "smtpD_use_tls"..?  will ich nicht in den
>> nächsten zwei Zeilen diesen Postfix als CLient konfigurieren?
> 
> Der Server soll auch STARTTLS anbieten, damit ein DANE-fähiger Client DANE
> durchführen kann - vorausgesetzt die Zieldomain ist DNSSEC-enabled, hat
> TLSA-Einträge UND bietet eben STARTTLS an.

ok - heisst also:
- für den Anfang also: erst mal die Sende-Seite - reichen die smtp_*
- und schon mal *opportunistisch* für die anderen da draussen
    anbieten: smtpd_*
- drittens: sich langsam mal um einen DNSSEC-fähigen Registrar kümmern
und dann den Rest irgenwann mal in dr nächsten Zeit machen..

> 
>> und zweitens: wenn DANE sowieso erst ab 2.11 möglich ist, warum wird
>> hier eine als seit 2.3 abgekündigte Option wieder eingeführt..? Sollte
>> dort nicht dann immer direkt mit smtp[d]_tls_security_level dokumentiert
>> werden?
> 
> ACK. Ich bin auch für smtpd_tls_security_level. Das alte smtpd_use_tls hält
> sich hartnäckig.

es findet sich u.a. auf *deinen eigenen* Folien ;-) (ok - schieb's auf
Carsten ;))

Danke
  Christian