DANE и TSLA в Cloudflare

Почтовые серверы, как известно, небрежно относятся к сертификатам TLS и часто и по умолчанию используют любой сертификат TLS, предлагаемый smtp-сервером получателя, без каких-либо проверок. (Потому что, несмотря на плохую практику безопасности, которая обеспечивает большую безопасность транспорта, чем отправка электронной почты в виде открытого текста), поэтому я ожидаю поддержки TLSA и текущего использования почтовых серверов: недостаточно, чтобы быть актуальным (пока?)

почтовые серверы также не могут шифровать .zip и вложения, поэтому почтовые серверы старого поколения использовали для подавления zip с файлами .exe (включая gmail), и мы использовали для изменения расширений с .txt, и мы могли отправлять файлы .exe тоже, но в настоящее время Google блокирует и такие двоичные файлы, включая файлы js. вопрос как? @Боб

Связанному обсуждению сообщества Cloudflare исполнилось 5 лет, и оно больше не актуально. С тех пор Cloudflare добавила записи TLSA.

@Bob Почтовые серверы не «небрежны». Почтовый сервер настраивается администраторами. Администраторы обычно имеют некоторые причины для настройки того, как они настраивают. Требование сертификатов ЦС на серверах-получателях является относительно тривиальной конфигурацией. Причина, по которой этого не делается, заключается в том, что слишком много серверов получателей плохо настроены, что приводит к невозможности доставки почты.То же самое относится и к получению почты, так как многие отправляющие серверы не поддерживают шифрование (по моим наблюдениям чаще всего это касается списков и информационных бюллетеней, что, вероятно, позволяет сэкономить на стоимости ресурсов).

Шифрование @CADENTIC TLS — это только транспорт, поэтому он будет шифровать все. Проблемы с типами файлов, о которых вы говорите, скорее всего, связаны с защитой от почтовых программ, которая не позволяет пользователям открывать часто зараженные типы файлов.

шифрование вложения, я думаю, зависит от почтового сервера. фильтрация файлов, скорее всего, является фильтрацией от спама, например. СпамУбийца. поэтому пользователь использовал для изменения zip, exe в текст, и они могли бы отправить их, но в настоящее время Gmail Outlook сканирует и это. не только расширения вложения. @Paul Pot, как они это сделали?

Основываясь на ваших комментариях к моему ответу ниже, вам необходимо предоставить более подробную информацию для ответа на ваш вопрос, поскольку в настоящее время все, что вы пытаетесь выполнить, и ваши текущие конфигурации недостаточно объяснены в этом вопросе.

Я включил DNSSEC, но не могу понять, как мне добавить DANE, когда наши серверные вычисления находятся за балансировщиком сетевой нагрузки в облаке оракула (всегда на бесплатном уровне)? @Павел

Вам просто нужно создать запись TLSA.[Этот инструмент] (https://www.huque.com/bin/gen_tlsa) является одним из самых простых, хотя он не содержит подробного объяснения того, для чего предназначен каждый параметр. Вы можете создать несколько записей с разными сертификатами. См. [RFC 6698] (https://datatracker.ietf.org/doc/html/rfc6698) и его обновления для получения дополнительной информации.

Cloudflare учитывает запись TLSA, если вы держите их «Только DNS», и не управляет ключом, пока Cloudflare (внутренний) CA изменяет его, и не улучшается с ним. так что скорее всего с Cloudflare не выгодно. Cloudflare полезен для https и hsts.

Я думаю, что DNSSEC не является обязательным для TLSA, потому что в службе управления DNS в OCI у вас будут опции для настройки DANE и TLSA.

Прочитайте введение в [RFC 7671] (https://datatracker.ietf.org/doc/html/rfc7671#section-1). Все это построено на DNSSEC, поэтому я действительно понятия не имею, о чем вы говорите.

Этот вопрос на других языках: