Điểm:2

Có thể sử dụng MTA-STS trong Postfix mà không ghi đè DANE không?

lá cờ jp

Các Bảo mật vận chuyển nghiêm ngặt SMTP MTA RFC 8461, 2 nói rõ rằng:

Tuy nhiên, MTA-STS được thiết kế để không can thiệp vào việc triển khai DANE khi cả hai chồng lên nhau; cụ thể là những người gửi triển khai MTA-STS xác thực KHÔNG ĐƯỢC cho phép xác thực Chính sách MTA-STS ghi đè lên một xác thực DANE không thành công.

Hiện tại, có vẻ như với cấu hình Postfix sau, MTA-STA sẽ ghi đè DANE (RFC 6698) khi người nhận đã triển khai cả hai, như đã thảo luận trong mta-sts-daemon's số 67và DANE chỉ được sử dụng nếu tên miền được liệt kê rõ ràng trong lần khớp đầu tiên smtp_tls_policy_maps (/etc/postfix/tls_policy) như chỉ dane.

# DANE TLS cơ hội
smtp_tls_security_level = dane
smtp_dns_support_level = dnssec

#MTA-STS
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_policy_maps =
    hàm băm:/etc/postfix/tls_policy,
    socketmap:inet:127.0.0.1:8461:postfix

Có ai đã tìm ra cách định cấu hình Postfix theo cách tuân thủ RFC 8461, nghĩa là xác thực chính sách MTA-STS thông qua mta-sts-daemon không thể thay đổi bản đồ chính sách cho các miền đã bật cả hai công nghệ? Điều này có yêu cầu cung cấp thêm "dane-daemon" bên ngoài không chỉ dane smtp_tls_policy_maps cho các miền đã bật DANE?

anx avatar
lá cờ fr
anx
Tôi tự hỏi liệu cách giải quyết đơn giản nhất có thể - chuẩn bị trước một sơ đồ ổ cắm khác chỉ trả về dane hoặc KHÔNG TÌM KIẾM tùy thuộc vào một truy vấn dns duy nhất - sẽ bỏ lỡ bất kỳ trường hợp cạnh nào..
lá cờ us
Các chuyên gia trong các công nghệ này thường trả lời các câu hỏi như vậy trong danh sách gửi thư Postfix tại [email protected].
lá cờ jp
@anx: Gợi ý hay đấy. Mặc dù đây không phải là một truy vấn DNS đơn lẻ mà là kết quả của một số truy vấn như được mô tả trong [RFC 7672, 2.2.3](https://datatracker.ietf.org/doc/html/rfc7672#section-2.2.3) . Nhưng dịch vụ socketmap có thể trả về `dane-only` nếu có các bản ghi TLSA cho máy chủ MX, điều này sẽ khắc phục được sự cố.
anx avatar
lá cờ fr
anx
Một trường hợp đặc biệt mà tôi đang nghĩ đến là: *tìm thấy bản ghi nhưng không sử dụng được bản ghi nào*. Postfix chuyển sang `encrypt` trong trường hợp đó, đây sẽ là một hạ cấp so với kết quả `secure match=example.com` tiềm ẩn từ MTA-STS.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.