DANE(命名实体的 DNS-based Authentication)是用于邮件传输的安全选项。 DANE 使用 DNSSEC 基础架构并使用 TLSA 记录来验证收件人服务器的身份。通过在发件人和收件人之间建立安全通道,DANE 可防止电子邮件在传输过程中被拦截或落入他人之手。本文将引导您了解如何在MailPlus Server中启用 DANE 以及如何将 TLSA 记录发布到公共 DNS。

在MailPlus Server中启用 DANE

启用 DANE 验证可让MailPlus Server在启动邮件传输时验证其他服务器的 TLS 证书。

  1. 启动MailPlus Server
  2. 进入安全性 > 验证 > DANE
  3. 勾选启用 DANE 验证复选框。
  4. 在以下级别之间进行选择:
    • 机会验证:仅当接收服务器支持 DANE 并设置了 TLSA 记录时,才会执行 DANE 验证。
    • 强制验证:将始终执行 DANE 验证。
  5. 单击应用以保存设置。

部署 TLSA 记录

TLSA(传输层安全性验证)记录将 TLS 服务器证书与记录所在的域名相关联。如果在将电子邮件递送到MailPlus Server时另一台邮件服务器正在使用 DANE,它将验证MailPlus Server 的 TLSA 记录。如果没有记录, MailPlus Server将无法通过验证,您可能无法接收从该特定服务器发送的电子邮件。

重要提示:当您的 SSL 证书续订时,您需要在 DNS 服务器上重新生成并手动更新 TLSA 记录。为了减少手动操作的频率,我们建议使用付费 SSL 证书,与 Let’s Encrypt 等免费选项相比,此证书的有效期更长。

生成 TLSA 记录

  1. 启动MailPlus Server 。
  2. 进入安全性 > 验证 > DANE
  3. 单击生成 TLSA 记录
  4. 指定 TLSA 记录的参数。请参阅RFC 6698以了解每个参数的含义。
  5. 单击确定以生成记录。

在公共 DNS 中部署 TLSA 记录

重要事项:必须在域上启用 DNSSEC 才能使 TLSA 记录正常工作。

  1. 进入公共 DNS 或联系域供应商以获得帮助。
  2. 按如下所示添加记录:
    • 类型:设置为TLSA
    • 使用情况选择器匹配类型输入MailPlus Server中提供的参数。
    • 证书:粘贴MailPlus Server中的证书关联数据。

结果和状态

DANE 基于使用 DNSSEC 签署的 A、MX 和 TLSA 记录来验证接收服务器的身份。验证结果和相应状态如下表所示:

方案 未找到 TLSA 记录 3 个记录任一是不安全的 3 个记录任一是伪造的 所有 3 条记录都是安全的
投机取巧 不受信任 不受信任 延期 已验证
强制 延期 延期 延期 已验证

在下列情况下将不会执行 DANE 验证:

  • 收件人域在允许列表中。
  • DANE 未在MailPlus Server中启用。

术语

结果

  • 安全:正确设置 DNSSEC 的域
  • 不安全:没有 DNSSEC 相关记录的域
  • 伪造:已设置 DNSSEC 但由于以下原因导致验证失败的域:
    • 无效的 TLSA 记录
    • 密钥过期
    • 信任链中的记录或密钥丢失

状态

  • 已验证:通过 DANE 验证后,使用受信任的 TLS 发送电子邮件
  • 不受信任:使用不受信任的 TLS 发送电子邮件,同时不强制执行 DANE 验证
  • 延期:电子邮件不会发送,并将在整个生命周期中保留在重试队列中

注:

  1. 启用 DANE 后,所有必需的 DNS 记录都需要使用 DNSSEC 进行签名。
  2. Synology DNS Server当前不支持 DNSSEC。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。