web-dev-qa-db-ja.com

メール、証明書、DANE

DANEは、サービスの証明書を提供する機能を提供しますか?それとも単なるホストですか?

DANEでメールサーバーを指定するにはどうすればよいですか?私のメールが[email protected] だが mail.bar.comはメールサーバーですが、公開しますかmail.bar.com のために foo.comドメイン?ここに、 mail.bar.com他の誰かによって操作されている可能性があります(私の場合、そのサーバーですが、私のメールサーバーには3つのドメインがあります)。

2
user29925

この情報は、noflex.orgの記事から取得されました: 電子メール用のDNSSECとDANEの実装 (archive.orgスナップショット)。ここにこの長い記事の要約があります

必要なものは次のとおりです。

  • DNSSEC対応ネームサーバー
  • DNSSEC対応レジストラ
  • DANEをサポートするDNSSEC対応のリゾルバMTA

メールサーバーでDANEを使用するには、DNSSECがDANEの要件であったため、最初にドメインfoo.comに対してDNSSECを有効にする必要があります。 DNSSECキーもregistarにコピーされました。その後、このドメインのMXレコード(mail.bar.comなど)を指定します。 mail.bar.comレコードもDNSSECでクエリする必要があります。

これで、SMTPクライアントは、foo.comのMXレコードから取得したホスト名であるmail.bar.comに対してDANEを実行します。これを行うために、クライアントは_25._tcp.mail.bar.comへのクエリを実行します。SMTPはTCPポート25を介して通信することを忘れないでください。

したがって、your-SMTP-server-certificateのハッシュを_25._tcp.mail.bar.comにタイプTLSAで追加する必要があります。

これで、SMTPはピア名の検証を実行できます。これを渡すには、MXレコードから取得したホスト名を持つ証明書のCNを設定する必要があります。 mail.bar.com。 SFでそれについてのこの議論を参照してください: SMTPサーバーのSSL証明書にはどのホスト名を含める必要がありますか?

1
masegaloeh