On 4/11/20 6:03 PM, Walter H. wrote: > On 11.04.2020 14:35, Christian wrote: >> >> Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle >> spielt. > > genau das ist ein Fehler, den viele machen; DANE ist nur ein Add-on, das > bereits valididierte zu verifizieren;
Woraus schliesst Du das? Das Gegenteil ist der Fall. DANE ist explizit angetreten, X.509 komplett zu ersetzen. Zum ursprünglichen Problem: http://www.postfix.org/TLS_README.html#client_tls_dane "Therefore, it is strongly recommended (DANE security guarantee void otherwise) that each MTA run a local DNSSEC-validating recursive resolver [..] listening on the loopback interface, and that the system be configured to use only this local nameserver." Frage an den Original-Poster: Wird von Deinem postfix wirklich ein lokaler DNS-Resolver auf 127.0.0.1 (oder ::1) benutzt? Ciao, Michael.
