La opción DNSSEC (DNS Security Extensions) permite a MDaemon actuar como un "Stub Resolver" No Validador, de Seguridad, que se define en los RFCs 4033 y 4035 como "una entidad que envía consultas DNS, recibe respuestas DNS y es capaz de establecer un canal seguro apropiado hacia un servidor de nombres seguro recursivo que proporcionará esos servicios por parte de un stub resolver seguro". Esto significa que durante las consultas DNS de MDaemon, puede solicitar el servicio DNSSEC de sus servidores DNS, estableciendo el bit AD (Authentic Data) en las consultas y verificándolas en las respuestas. Esto puede proporcionar un nivel adicional de seguridad durante el procesamiento DNS para algunos mensajes, aunque no todos, dado que DNSSEC aún no está soportado por todos los servidores DNS o por todos los dominios de nivel superior.
Cuando se habilita, el servicio DNSSEC solo se aplica a mensajes que cumplen sus criterios de selección; se puede solicitar o requerir tan amplia o estrictamente como usted decida. Simplemente defina cualquier combinación de "Header Value" a su elección en esta pantalla y MDaemon solicitará el servicio DNSSEC para los mensajes que coincidan con estos criterios siempre que ejecute una consulta de DNS. Cuando los resultados de DNS no incluyan datos autentificados, entonces no habrá consecuencias negativas; MDaemon simplemente regresará a su comportamiento de DNS normal. Sin embargo, si usted desea requerir DNSSEC para ciertos mensajes, agregue "SECURE" a la combinación header/value (ej. To *@example.net SECURE). Para esos mensajes, cuando los resultados DNS fallan porque no incluyen datos autentificados, el mensaje será regresado al remitente. Nota: Dado que las consultas DNSSEC consumen más tiempo y recursos y porque DNSSEC aún no está soportado por todos los servidores, MDaemon no está configurado para aplicar DNSSEC por omisión para la entrega de todos los mensajes. Sin embargo, si usted desea utilizar DNSSEC para todos los mensajes, lo puede hacer incluyendo "To *" en sus criterios.
Los registros de las sesiones de correo incluirán una línea en el encabezado si el servicio DNSSEC fue utilizado y "DNSSEC" aparecerá al lado de los datos seguros, en los registros.
|
Dado que MDaemon es un "Stub Resolver" no validador, solicitará datos autentificados de su servidor DNS pero no tiene manera de verificar independientemente que los datos que obtiene del servidor son seguros. Por esta razón, para utilizar exitosamente la opción DNSSEC, debe asegurarse de que confía en la conexión a su servidor de DNS. Por ejemplo, si se ejecuta en localhost o en una LAN o ubicación segura. |
