是否可以在 Postfix 中使用 MTA-STS 而不覆盖 DANE?

是否可以在 Postfix 中使用 MTA-STS 而不覆盖 DANE?

SMTP MTA 严格传输安全 RFC 8461,2明确指出:

但是,MTA-STS 的设计目的是当两者重叠时不会干扰 DANE 部署;特别是,实施 MTA-STS 验证的发送方不得允许 MTA-STS 策略验证覆盖失败的 DANE 验证。

目前看来,通过以下 Postfix 配置,MTA-STA 会覆盖 DANE(RFC 6698) 验证,当接收方已实施两者时,如 mta-sts-daemon 的问题 #67并且仅当域在第一个匹配中明确列出时才使用 DANEsmtp_tls_policy_maps/etc/postfix/tls_policy) 作为dane-only

# Opportunistic DANE TLS
smtp_tls_security_level = dane
smtp_dns_support_level = dnssec

# MTA-STS
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_policy_maps =
    hash:/etc/postfix/tls_policy,
    socketmap:inet:127.0.0.1:8461:postfix

有没有人找到一种符合 RFC 8461 的方式配置 Postfix,即通过 mta-sts-daemon 进行的 MTA-STS 策略验证无法更改同时启用两种技术的域的策略映射?这是否需要额外的外部“dane-daemon”来提供dane-only smtp_tls_policy_maps对于已启用 DANE 的域?

相关内容