Hallo Zusammen,
ich habe heute eine Anforderung bekommen die DNSsec und DANE benötigt.
Ist das auf aktueller Version von PD-Admin und dem darauf laufenden qmail abbildbar?
viele Grüße
Manfred
DNSSEC und DANE
-
-
Meines Wissens basiert DANE ja im wesentlichen auf
- dnssec ist für die Domain aktiv
- Server kann TLS
- Hash des Zertifikats ist als TLSA Record im DNS abgelegt (und wird bei Zertifikatswechsel upgedatet)Für eingehende Mails ist das bedingt ein pd-admin Thema. TLS am Mailserver sollte ja ohnehin aktiv sein, dnssec muss beim Domainregistrar bzw. bei den DNS gemanagt werden und dass der TLSA Record immer up to date ist, kann man sich selbst skripten.
Für ausgehende Mails ist es schon schwieriger, weil hier müsste qmail diese ganze Kette der Maßnehme (dnssec, TLSA Record,...) im Zuge der Mailzustellung überprüfen. Das tut es derzeit meines Wissens nach nicht. Laut Google gibt es hier zwar Implementierungen für qmail, ob diese in der Standardumgebung mit drin sind und wie sie zu aktivieren wären, weiß ich leider nicht.
-
Ja, so hatte ich das aktuell auch eingeschätzt . Wir werden trotzdem schon mal beginnen die Domains bei unserem Domainregistrar mit DNSSEC zu aktivieren.
Problem wird dann eher der TLSA Eintrag. Vielleicht gibt es ja eine Idee für einen Workaround von Herrn Bradler.
Wir sollten an dem Thema aber dran bleiben, weil das - auch im Rahmen von NIS2 - sicherlich häufiger kommen wird.