Outgoing DANE ignoriert fehlerhafte DANE Einträge

Christian list-christian at web.de
Sa Apr 11 18:58:35 CEST 2020


Hallo Michael,
da haben sich unsere E-Mails überschnitten.
Ich laufe in einem Docker Setup und habe einen eigenen Unbound
container laufen. Der ist explizit Postfix zugeordnet. Er ist also
nicht auf localhost, sondern a la Docker auf 127.0.0.11. So ist es auch
in der resolv.conf eingetragen.
Nach der verlinkten Doku nutzt Postfix den System-Resolver. Ich hab es
verstanden als: es muss kein localhost sein, wäre nur aus
Sicherheitsgründen wünschenswert.
Ein Test aus dem Postfix Container sieht dann wie unten angehängt aus.
Da es immer schwer ist einen Unbound zu identifizieren, kann ich nur
mit dem Cache arbeiten. Erneuter Aufruf der selben Records ergibt eine
Query time von 0ms.
Das sollte eigentlich nur ein lokaler Unbound schaffen, oder?
Kennst Du einen Weg um die Ausführung des DANE Tests sichtbar zu
machen?

/ # dig _25._tcp.do.havedane.net TLSA +dnssec
; <<>> DiG 9.14.8 <<>> _25._tcp.do.havedane.net TLSA +dnssec;; global
options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status:
NOERROR, id: 16107;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3,
AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:; EDNS: version: 0, flags: do; udp: 4096;;
QUESTION SECTION:;_25._tcp.do.havedane.net.	IN	TLSA
;; ANSWER SECTION:_25._tcp.do.havedane.net. 3600	IN	TLSA
2 1 1 27B694B51D1FEF8885372ACFB39193759722B736B0426864DC1C79D0
651FEF73_25._tcp.do.havedane.net. 3600	IN	TLSA	3 1 1
553ACF88F9EE18CCAAE635CA540F32CB84ACA77C47916682BCB542D5
1DAA871F_25._tcp.do.havedane.net. 3600	IN	RRSIG	TLSA 8 5 3600
20200423000000 20200402000000 42609 havedane.net.
OH0RwDScHtrf8z2GNJ4KnRi+fjTvcJJUyke0eA94IntRn4qDCzRVz4/Q
bfojdMGSsKg0KqBVuCdWzwI2Tv2mPQVGJW3uIcBllwkHAJd0JSLZjLpg
jR7r9ew/KrI/G31cuZn3TLbzW44b/VD4mmDjsZ71XyRUrSuZRE0pYAyo 8nE=
;; Query time: 112 msec;; SERVER: 127.0.0.11#53(127.0.0.11);; WHEN: Sat
Apr 11 18:47:35 CEST 2020;; MSG SIZE  rcvd: 319
Am Samstag, den 11.04.2020, 18:28 +0200 schrieb Michael Ströder:
> On 4/11/20 6:03 PM, Walter H. wrote:
> On 11.04.2020 14:35, Christian wrote:
>
> Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere
> Rollespielt.
> genau das ist ein Fehler, den viele machen; DANE ist nur ein Add-on,
> dasbereits valididierte zu verifizieren;
> Woraus schliesst Du das?Das Gegenteil ist der Fall. DANE ist explizit
> angetreten, X.509 komplettzu ersetzen.
> Zum ursprünglichen Problem:
> http://www.postfix.org/TLS_README.html#client_tls_dane
> "Therefore, it is strongly recommended (DANE security guarantee
> voidotherwise) that each MTA run a local DNSSEC-validating
> recursiveresolver [..] listening on the loopback interface, and that
> the systembe configured to use only this local nameserver."
> Frage an den Original-Poster:Wird von Deinem postfix wirklich ein
> lokaler DNS-Resolver auf 127.0.0.1(oder ::1) benutzt?
> Ciao, Michael.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://de.postfix.org/pipermail/postfix-users/attachments/20200411/2273a100/attachment.htm>


Mehr Informationen über die Mailingliste postfix-users