Esta información se tomó del artículo de noflex.org: Implementando DNSSEC y DANE para correo electrónico (instantánea de archive.org). Aquí un resumen de este largo artículo
Lo que necesitas es:
- servidor de nombres capaz de DNSSEC
- registrador capaz de DNSSEC
- MTA de resolución compatible con DNSSEC con soporte DANE
Para usar DANE en el servidor de correo, primero debe habilitar DNSSEC para su dominio foo.com, ya que DNSSEC era un requisito para DANE. La clave DNSSEC también fue copiada a registar. Después de eso, especifique el (los) registro (s) MX para este dominio, por ejemplo, mail.bar.com. El registro de mail.bar.com también debe consultarse con DNSSEC.
Ahora, el cliente SMTP realiza DANE para mail.bar.com, el nombre de host obtenido del registro MX de foo.com. Para hacer eso, el cliente realizará una consulta a _25._tcp.mail.bar.com
. Recuerde que SMTP es hablar a través del puerto TCP 25.
Por lo tanto, debe agregar el hash de su certificado-servidor-SMTP a _25._tcp.mail.bar.com
con el tipo: TLSA.
Ahora, SMTP puede realizar la verificación de peername. Para aprobarlo, debe configurar CN para el certificado con el nombre de host obtenido del registro MX, por ejemplo. mail.bar.com. Consulte esta discusión al respecto en SF: ¿Qué nombre de host debe contener el certificado SSL para un servidor SMTP?