在决定将未加密的邮件发送到远程主机之前,我正在尝试配置 Exim 以尝试 DANE。
我的一般 Exim 配置有:dns_dnssec_ok = 1。
对于dnslookup路由器:dnssec_request_domains = *
对于remote_smtp运输:
hosts_try_dane = *
dnssec_request_domains = *
我的系统 DNS 解析器验证了 dnssec,并设置dig do.havedane.net了ad标志。
尽管如此,havedane.net报告称:Email to domain with invalid DANE delivered.
然后我尝试要求验证:
hosts_require_dane = *
这会导致所有三个测试失败,例如:
R=dnslookup T=remote_smtp: DANE error: do.havedane.net lookup not DNSSEC
我已经确认可以通过 获取 DNSSEC 验证的记录do.havedane.net,dig那么为什么 Exim 建议不这样做呢?