DANEは、サービスの証明書を提供する機能を提供しますか?それとも単なるホストですか?
DANEでメールサーバーを指定するにはどうすればよいですか?私のメールが[email protected]
だが mail.bar.com
はメールサーバーですが、公開しますかmail.bar.com
のために foo.com
ドメイン?ここに、 mail.bar.com
他の誰かによって操作されている可能性があります(私の場合、そのサーバーですが、私のメールサーバーには3つのドメインがあります)。
この情報は、noflex.orgの記事から取得されました: 電子メール用のDNSSECとDANEの実装 (archive.orgスナップショット)。ここにこの長い記事の要約があります
必要なものは次のとおりです。
メールサーバーでDANEを使用するには、DNSSECがDANEの要件であったため、最初にドメインfoo.comに対してDNSSECを有効にする必要があります。 DNSSECキーもregistarにコピーされました。その後、このドメインのMXレコード(mail.bar.comなど)を指定します。 mail.bar.comレコードもDNSSECでクエリする必要があります。
これで、SMTPクライアントは、foo.comのMXレコードから取得したホスト名であるmail.bar.comに対してDANEを実行します。これを行うために、クライアントは_25._tcp.mail.bar.com
へのクエリを実行します。SMTPはTCPポート25を介して通信することを忘れないでください。
したがって、your-SMTP-server-certificateのハッシュを_25._tcp.mail.bar.com
にタイプTLSAで追加する必要があります。
これで、SMTPはピア名の検証を実行できます。これを渡すには、MXレコードから取得したホスト名を持つ証明書のCNを設定する必要があります。 mail.bar.com。 SFでそれについてのこの議論を参照してください: SMTPサーバーのSSL証明書にはどのホスト名を含める必要がありますか?