Có thể sử dụng MTA-STS trong Postfix mà không ghi đè DANE không?

Esa Jokinen

13:51, 22/09/2023

Các Bảo mật vận chuyển nghiêm ngặt SMTP MTA RFC 8461, 2 nói rõ rằng:

Tuy nhiên, MTA-STS được thiết kế để không can thiệp vào việc triển khai DANE khi cả hai chồng lên nhau; cụ thể là những người gửi triển khai MTA-STS xác thực KHÔNG ĐƯỢC cho phép xác thực Chính sách MTA-STS ghi đè lên một xác thực DANE không thành công.

Hiện tại, có vẻ như với cấu hình Postfix sau, MTA-STA sẽ ghi đè DANE (RFC 6698) khi người nhận đã triển khai cả hai, như đã thảo luận trong mta-sts-daemon's số 67và DANE chỉ được sử dụng nếu tên miền được liệt kê rõ ràng trong lần khớp đầu tiên smtp_tls_policy_maps (/etc/postfix/tls_policy) như chỉ dane.

# DANE TLS cơ hội
smtp_tls_security_level = dane
smtp_dns_support_level = dnssec

#MTA-STS
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_policy_maps =
    hàm băm:/etc/postfix/tls_policy,
    socketmap:inet:127.0.0.1:8461:postfix

Có ai đã tìm ra cách định cấu hình Postfix theo cách tuân thủ RFC 8461, nghĩa là xác thực chính sách MTA-STS thông qua mta-sts-daemon không thể thay đổi bản đồ chính sách cho các miền đã bật cả hai công nghệ? Điều này có yêu cầu cung cấp thêm "dane-daemon" bên ngoài không chỉ dane smtp_tls_policy_maps cho các miền đã bật DANE?

0 + 0

chia sẻ màn hình

pop3

dane

mta-sts

anx

15:47, 22/09/2023

Tôi tự hỏi liệu cách giải quyết đơn giản nhất có thể - chuẩn bị trước một sơ đồ ổ cắm khác chỉ trả về dane hoặc KHÔNG TÌM KIẾM tùy thuộc vào một truy vấn dns duy nhất - sẽ bỏ lỡ bất kỳ trường hợp cạnh nào..

Hồi đáp

glts

16:47, 22/09/2023

Các chuyên gia trong các công nghệ này thường trả lời các câu hỏi như vậy trong danh sách gửi thư Postfix tại [email protected].

Hồi đáp

Esa Jokinen

17:55, 22/09/2023

@anx: Gợi ý hay đấy. Mặc dù đây không phải là một truy vấn DNS đơn lẻ mà là kết quả của một số truy vấn như được mô tả trong [RFC 7672, 2.2.3](https://datatracker.ietf.org/doc/html/rfc7672#section-2.2.3) . Nhưng dịch vụ socketmap có thể trả về `dane-only` nếu có các bản ghi TLSA cho máy chủ MX, điều này sẽ khắc phục được sự cố.

Hồi đáp

anx

18:11, 22/09/2023

Một trường hợp đặc biệt mà tôi đang nghĩ đến là: *tìm thấy bản ghi nhưng không sử dụng được bản ghi nào*. Postfix chuyển sang `encrypt` trong trường hợp đó, đây sẽ là một hạ cấp so với kết quả `secure match=example.com` tiềm ẩn từ MTA-STS.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is it possible to use MTA-STS in Postfix without overriding DANE?

TH: เป็นไปได้ไหมที่จะใช้ MTA-STS ใน Postfix โดยไม่แทนที่ DANE

RO: Este posibil să utilizați MTA-STS în Postfix fără a suprascrie DANE?

RU: Можно ли использовать MTA-STS в Postfix без переопределения DANE?

VI: Có thể sử dụng MTA-STS trong Postfix mà không ghi đè DANE không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.