DANE offre la possibilità di fornire certificati per i servizi? O è solo un host?
Come si può specificare un server di posta con DANE? Se il mio indirizzo email è [email protected] ma mail.bar.com è il server di posta elettronica, quindi pubblico mail.bar.com per il dominio foo.com ? Qui, mail.bar.com può essere gestito da qualcun altro (nel mio caso, è il mio server ma il mio server di posta ospita tre domini).
Questa informazione è stata presa dall'articolo di noflex.org: Implementazione di DNSSEC e DANE per la posta elettronica (istantanea archive.org). Ecco alcuni riassunti di questo lungo articolo
Quello che ti serve è:
Per usare DANE nel server di posta, devi prima abilitare DNSSEC per il tuo dominio foo.com dato che DNSSEC era un requisito per DANE. Anche la chiave DNSSEC è stata copiata in registar. Successivamente, specifica i record MX per questo dominio, ad esempio mail.bar.com. Anche il record mail.bar.com deve essere interrogato con DNSSEC.
Ora, il client SMTP esegue DANE per mail.bar.com, il nome host ottenuto dal record MX di foo.com. Per fare ciò, il cliente eseguirà la query a _25._tcp.mail.bar.com . Ricorda che SMTP sta parlando attraverso la porta TCP 25.
Quindi devi aggiungere l'hash del tuo server-SMTP-certificato a _25._tcp.mail.bar.com con tipo: TLSA.
Ora, SMTP può eseguire la verifica del nome utente. Per passarlo, devi impostare CN per il certificato con nome host ottenuto dal record MX, ad es. mail.bar.com. Vedi questa discussione su SF: Quale nome host deve contenere il certificato SSL per un server SMTP?
Leggi altre domande sui tag email certificates dns-domain dnssec dane