etwas offtopic: Key- und Config- Management

Andreas Pothe mailinglisten at pothe.de
Mi Jan 27 17:14:23 CET 2016



Am 27.01.2016 um 11:44 schrieb Daniel:
> Und dann braucht ihr ja nur 1 Domain für den Mailserver mit DNSSEC versehen. SPF kann man auch mit include auf einen Eintrag vom Mailserver verweisen. Und bei den anderen Domains sollte dann auch CNAME gehen für _darc Host und den Domainkey, ebenfalls auf Mailserver Domain.

Damit DANE durchgängig funktioniert, muss sowohl die angeschriebene
Domain per DNSSEC erreichbar sein als auch der Mailserver, für letzteren
muss außerdem ein TLSA Eintrag vorhanden sein.

Außerdem tut DNSSEC nicht wirklich weh. Man kann das auch schön
automatisieren; einige machen es mit BIND direkt (IIRC gibt es da
irgendwo unter sys4 eine Anleitung zu), ich selbst arbeite mit
OpenDNSSEC und bin damit sehr zufrieden.



Mehr Informationen über die Mailingliste Postfixbuch-users