Re: Outgoing DANE ignoriert fehlerhafte DANE Einträge
Alex JOST
jost+lists at dimejo.at
Sa Apr 11 14:59:59 CEST 2020
Am 11.04.2020 um 14:35 schrieb Christian:
> Hallo Alex,
>
> danke für die schnelle Antwort.
> smtp_tls_CAfile ist bei mir auf mein ca-certificate file gesetzt. So
> wie ich die Doku verstanden habe, sollte es reichen und CApath is eine
> Performance Alternative?!
> Dies würde auch erklären, warum andere Verbindungen (z.B. web.de) als
> "Trusted" eingestuft werden.
>
> Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle
> spielt. Es soll ja nun die Validität des Zertifikats durch den DNSSEC
> gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie
> nicht zu funktionieren?
Habe mit DANE leider selbst keine Erfahrungen gesammelt, deshalb kann
ich dir nur Hilfe leisten. Aber soweit ich gelesen habe, sollte Postfix
bei DANE ein "Verified" anstatt "Trusted" loggen. Und da web.de meines
Wissens DANE unterstützt dürfte da wirklich was nicht funktionieren.
Hast Du überprüft, dass dein DNS Resolver DNSSEC unterstützt? Welche
Version von Postfix verwendest du?
--
Alex JOST
Mehr Informationen über die Mailingliste postfix-users