Correo electrónico, certificados y DANE [cerrado]

3

¿DANE ofrece la capacidad de proporcionar certificados para servicios? ¿O son solo anfitriones?

¿Cómo se especifica un servidor de correo con DANE? Si mi correo electrónico es [email protected] pero mail.bar.com es el servidor de correo electrónico, ¿publico mail.bar.com para el dominio foo.com ? Aquí, mail.bar.com puede ser operado por otra persona (en mi caso, es mi servidor, pero mi servidor de correo alberga tres dominios).

    
pregunta jww 30.05.2014 - 03:07
fuente

1 respuesta

2

Esta información se tomó del artículo de noflex.org: Implementando DNSSEC y DANE para correo electrónico (instantánea de archive.org). Aquí un resumen de este largo artículo

Lo que necesitas es:

  • servidor de nombres capaz de DNSSEC
  • registrador capaz de DNSSEC
  • MTA de resolución compatible con DNSSEC con soporte DANE

Para usar DANE en el servidor de correo, primero debe habilitar DNSSEC para su dominio foo.com, ya que DNSSEC era un requisito para DANE. La clave DNSSEC también fue copiada a registar. Después de eso, especifique el (los) registro (s) MX para este dominio, por ejemplo, mail.bar.com. El registro de mail.bar.com también debe consultarse con DNSSEC.

Ahora, el cliente SMTP realiza DANE para mail.bar.com, el nombre de host obtenido del registro MX de foo.com. Para hacer eso, el cliente realizará una consulta a _25._tcp.mail.bar.com . Recuerde que SMTP es hablar a través del puerto TCP 25.

Por lo tanto, debe agregar el hash de su certificado-servidor-SMTP a _25._tcp.mail.bar.com con el tipo: TLSA.

Ahora, SMTP puede realizar la verificación de peername. Para aprobarlo, debe configurar CN para el certificado con el nombre de host obtenido del registro MX, por ejemplo. mail.bar.com. Consulte esta discusión al respecto en SF: ¿Qué nombre de host debe contener el certificado SSL para un servidor SMTP?

    
respondido por el masegaloeh 18.01.2015 - 15:31
fuente

Lea otras preguntas en las etiquetas