¿DANE ofrece la capacidad de proporcionar certificados para servicios? ¿O son solo anfitriones?
¿Cómo se especifica un servidor de correo con DANE? Si mi correo electrónico es [email protected] pero mail.bar.com es el servidor de correo electrónico, ¿publico mail.bar.com para el dominio foo.com ? Aquí, mail.bar.com puede ser operado por otra persona (en mi caso, es mi servidor, pero mi servidor de correo alberga tres dominios).
Esta información se tomó del artículo de noflex.org: Implementando DNSSEC y DANE para correo electrónico (instantánea de archive.org). Aquí un resumen de este largo artículo
Lo que necesitas es:
Para usar DANE en el servidor de correo, primero debe habilitar DNSSEC para su dominio foo.com, ya que DNSSEC era un requisito para DANE. La clave DNSSEC también fue copiada a registar. Después de eso, especifique el (los) registro (s) MX para este dominio, por ejemplo, mail.bar.com. El registro de mail.bar.com también debe consultarse con DNSSEC.
Ahora, el cliente SMTP realiza DANE para mail.bar.com, el nombre de host obtenido del registro MX de foo.com. Para hacer eso, el cliente realizará una consulta a _25._tcp.mail.bar.com . Recuerde que SMTP es hablar a través del puerto TCP 25.
Por lo tanto, debe agregar el hash de su certificado-servidor-SMTP a _25._tcp.mail.bar.com con el tipo: TLSA.
Ahora, SMTP puede realizar la verificación de peername. Para aprobarlo, debe configurar CN para el certificado con el nombre de host obtenido del registro MX, por ejemplo. mail.bar.com. Consulte esta discusión al respecto en SF: ¿Qué nombre de host debe contener el certificado SSL para un servidor SMTP?
Lea otras preguntas en las etiquetas certificates email dns-domain dnssec dane