Outgoing DANE ignoriert fehlerhafte DANE Einträge

Christian list-christian at web.de
Sa Apr 11 15:17:27 CEST 2020


Meine Postfix Version ist 3.4.9
Den Resolver habe ich mit dig vom Postfix host aus geprüft und er gibt
mir ein "ad" Flag zurück. Also müsste DNSSEC grundsätzlich
funktionieren.

Wenn ich wenigstens irgendwelche debugging tools finden würde, mit
denen ich den Käse nachvollziehen kann. Irgendwie ist das sehr Black
Boxig was Postfix da macht.


Am Samstag, den 11.04.2020, 14:59 +0200 schrieb Alex JOST:
> Am 11.04.2020 um 14:35 schrieb Christian:
>
> Hallo Alex,
>
> danke für die schnelle Antwort.
> smtp_tls_CAfile   ist bei mir auf mein ca-certificate file gesetzt. So
> wie ich die Doku verstanden habe, sollte es reichen und CApath is eine
> Performance Alternative?!
> Dies würde auch erklären, warum andere Verbindungen (z.B. web.de) als
> "Trusted" eingestuft werden.
>
> Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle
> spielt. Es soll ja nun die Validität des Zertifikats durch den DNSSEC
> gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie
> nicht zu funktionieren?
>
> Habe mit DANE leider selbst keine Erfahrungen gesammelt, deshalb kann
> ich dir nur Hilfe leisten. Aber soweit ich gelesen habe, sollte Postfix
> bei DANE ein "Verified" anstatt "Trusted" loggen. Und da web.de meines
> Wissens DANE unterstützt dürfte da wirklich was nicht funktionieren.
>
> Hast Du überprüft, dass dein DNS Resolver DNSSEC unterstützt? Welche
> Version von Postfix verwendest du?
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://de.postfix.org/pipermail/postfix-users/attachments/20200411/f535115f/attachment.htm>


Mehr Informationen über die Mailingliste postfix-users