Questa informazione è stata presa dall'articolo di noflex.org: Implementazione di DNSSEC e DANE per la posta elettronica (istantanea archive.org). Ecco alcuni riassunti di questo lungo articolo
Quello che ti serve è:
- Server dei nomi con capacità DNSSEC
- Registratore capace di DNSSEC
- MTA risolutore DNSSEC con supporto DANE
Per usare DANE nel server di posta, devi prima abilitare DNSSEC per il tuo dominio foo.com dato che DNSSEC era un requisito per DANE. Anche la chiave DNSSEC è stata copiata in registar. Successivamente, specifica i record MX per questo dominio, ad esempio mail.bar.com. Anche il record mail.bar.com deve essere interrogato con DNSSEC.
Ora, il client SMTP esegue DANE per mail.bar.com, il nome host ottenuto dal record MX di foo.com. Per fare ciò, il cliente eseguirà la query a _25._tcp.mail.bar.com
. Ricorda che SMTP sta parlando attraverso la porta TCP 25.
Quindi devi aggiungere l'hash del tuo server-SMTP-certificato a _25._tcp.mail.bar.com
con tipo: TLSA.
Ora, SMTP può eseguire la verifica del nome utente. Per passarlo, devi impostare CN per il certificato con nome host ottenuto dal record MX, ad es. mail.bar.com. Vedi questa discussione su SF: Quale nome host deve contenere il certificato SSL per un server SMTP?