[postfix-users] DNSSEC für Mailserver richtig einrichten

Patrick Ben Koetter via postfix-users postfix-users at de.postfix.org
Sa Mai 24 23:49:14 CEST 2014


* Django [BOfH] via postfix-users <django at nausch.org>:
> HI p at rick!
> 
> Am 24.05.2014 15:01, schrieb Patrick Ben Koetter via postfix-users:
> 
> > Ich habe einen kurzen Blog darüber geschrieben wie man das DNS
> > seines (Mail)server fit für DNSSEC-Abfragen macht:
> 
> Das macht der bind hier bei CentOS 6 out of the box.
> 
> ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> sys4.de +dnssec
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47703
> ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 6

Wenn man einen bind lokal am laufen hat, ist das gut. Ein reiner Resolver wie
unbound ist ~ Faktor 10 schneller, falls jemand das braucht und er hat einen
angenehm geringen footprint.

> > Das ist auch dann schon nützlich, wenn man DANE noch nicht
> > einsetzt!
> 
> Wenn Du das sagst, dann wird es schon stimmen. ;)

Ich habe auch schon gesagt, es wird garantiert nicht regnen...

Es ist nützlich auch ohne DANE, weil eine Zone, die DNSSEC-signiert ist und
nicht validiert, einen SERVFAIL hervorruft und die Records in der Zone dann
nicht aufgelöst werden.

Sollte jemand also am DNS der Zone rumgedreht haben, wird Dein Mailserver
nichts hinsenden können, weil er keine MX- oder A-Records erhält. Im Zweifel
über die Intregrität des Ziels eine feine Sache, wie ich meine.

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users