メール、証明書、DANE
DANEは、サービスの証明書を提供する機能を提供しますか?それとも単なるホストですか?
DANEでメールサーバーを指定するにはどうすればよいですか?私のメールが[email protected] だが mail.bar.comはメールサーバーですが、公開しますかmail.bar.com のために foo.comドメイン?ここに、 mail.bar.com他の誰かによって操作されている可能性があります(私の場合、そのサーバーですが、私のメールサーバーには3つのドメインがあります)。
この情報は、noflex.orgの記事から取得されました: 電子メール用のDNSSECとDANEの実装 (archive.orgスナップショット)。ここにこの長い記事の要約があります
必要なものは次のとおりです。
- DNSSEC対応ネームサーバー
- DNSSEC対応レジストラ
- DANEをサポートするDNSSEC対応のリゾルバMTA
メールサーバーでDANEを使用するには、DNSSECがDANEの要件であったため、最初にドメインfoo.comに対してDNSSECを有効にする必要があります。 DNSSECキーもregistarにコピーされました。その後、このドメインのMXレコード(mail.bar.comなど)を指定します。 mail.bar.comレコードもDNSSECでクエリする必要があります。
これで、SMTPクライアントは、foo.comのMXレコードから取得したホスト名であるmail.bar.comに対してDANEを実行します。これを行うために、クライアントは_25._tcp.mail.bar.comへのクエリを実行します。SMTPはTCPポート25を介して通信することを忘れないでください。
したがって、your-SMTP-server-certificateのハッシュを_25._tcp.mail.bar.comにタイプTLSAで追加する必要があります。
これで、SMTPはピア名の検証を実行できます。これを渡すには、MXレコードから取得したホスト名を持つ証明書のCNを設定する必要があります。 mail.bar.com。 SFでそれについてのこの議論を参照してください: SMTPサーバーのSSL証明書にはどのホスト名を含める必要がありますか?