Re: Outgoing DANE ignoriert fehlerhafte DANE Einträge

Michael Ströder michael at stroeder.com
Sa Apr 11 18:28:45 CEST 2020


On 4/11/20 6:03 PM, Walter H. wrote:
> On 11.04.2020 14:35, Christian wrote:
>>
>> Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle
>> spielt.
>
> genau das ist ein Fehler, den viele machen; DANE ist nur ein Add-on, das
> bereits valididierte zu verifizieren;

Woraus schliesst Du das?
Das Gegenteil ist der Fall. DANE ist explizit angetreten, X.509 komplett
zu ersetzen.

Zum ursprünglichen Problem:

http://www.postfix.org/TLS_README.html#client_tls_dane

"Therefore, it is strongly recommended (DANE security guarantee void
otherwise) that each MTA run a local DNSSEC-validating recursive
resolver [..] listening on the loopback interface, and that the system
be configured to use only this local nameserver."

Frage an den Original-Poster:
Wird von Deinem postfix wirklich ein lokaler DNS-Resolver auf 127.0.0.1
(oder ::1) benutzt?

Ciao, Michael.


Mehr Informationen über die Mailingliste postfix-users