Строгая транспортная безопасность SMTP MTA RFC 8461, 2 ясно заявляет, что:
Однако MTA-STS разработан таким образом, чтобы не мешать развертыванию DANE.
когда они пересекаются; в частности, отправители, реализующие MTA-STS
проверка НЕ ДОЛЖНА позволять проверке политики MTA-STS переопределять
провал проверки DANE.
В настоящее время кажется, что со следующей конфигурацией Postfix MTA-STA переопределяет DANE (RFC 6698) проверка, когда получатель внедрил и то, и другое, как описано в демоне mta-sts-daemon. выпуск №67, а DANE используется только в том случае, если домен явно указан в первом совпадающем списке. smtp_tls_policy_maps (/etc/postfix/tls_policy) как только для датчанина.
# Оппортунистический DANE TLS
smtp_tls_security_level = датчанин
smtp_dns_support_level = DNSsec
# МТА-СТС
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_policy_maps =
хеш:/etc/postfix/tls_policy,
Карта сокетов: инет: 127.0.0.1: 8461: постфикс
Кто-нибудь нашел способ настроить Postfix в соответствии с RFC 8461, т. Е. Что проверка политики MTA-STS через mta-sts-daemon не может изменить карты политик для доменов, в которых включены обе технологии? Потребуется ли для этого дополнительный внешний «датчанин-демон», предоставляющий только для датчанина smtp_tls_policy_maps для доменов с включенным DANE?
