|
DNSSEC |
Scorri Precedente Primo livello Successivo Altro |
L'opzione DNSSEC (DNS Security Extensions) consente a MDaemon di agire come risolutore stub non di convalida in grado di riconoscere la sicurezza, definito in RFC 4033 e 4035 come "una entità che invia query DNS, riceve risposte DNS ed è in grado di stabilire un canale protetto in modo appropriato a un server dei nomi ricorsivo in grado di riconoscere la sicurezza che fornirà questi servizi per conto del risolutore stub in grado di riconoscere la sicurezza". Questo significa che durante le query DNS di MDaemon può essere richiesto il servizio DNSSEC dai propri server DNS, impostando il bit AD (Authentic Data) nelle query e verificandone la presenza nelle risposte. Questo può fornire un livello di sicurezza aggiuntivo durante il processo DNS per alcuni messaggi, anche se non per tutti, perché DNSSEC non è ancora supportato da tutti i server DNS o per tutti i domini di livello superiore.
Quando abilitato, il servizio DNSSEC viene applicato solo ai messaggi che soddisfano i criteri di selezione. Può essere richiesto o essere considerato obbligatorio nei termini e modalità selezionati dall'utente. È sufficiente specificare le combinazioni "intestazione/valore" selezionate nella schermata e MDaemon richiederà il servizio DNSSEC per i messaggi che corrispondono al criterio ogni volta che esegue una query DNS. Quando i risultati DNS non includono dati autenticati, non ne derivano conseguenze negative; MDaemon torna semplicemente al normale comportamento DNS. Se tuttavia si desidera richiedere DNSSEC per specifici messaggi, aggiungere "SECURE" alla combinazione intestazione/valore (ad es. To *@esempio.net SECURE). Per questi messaggi, quando i risultati DNS non includono dati autenticati, il messaggio sarà restituito al mittente. Nota: poiché le ricerche DNSSEC impiegano più tempo e risorse e dato che DNSSEC non è ancora supportato da tutti i server, MDaemon non è configurato per applicare DNSSEC a tutti i messaggi consegnati per impostazione predefinita. Tuttavia, se si desidera richiedere DNSSEC per tutti i messaggi, sarà necessario includere "To *" nei criteri.
Nei registri delle sessioni di posta sarà presente una riga all'inizio quando il servizio DNSSEC viene utilizzato con "DNSSEC" accanto ai dati protetti nei registri.
|
Poiché è un risolutore stub non di convalida, MDaemon richiede i dati autenticati al server DNS utilizzato ma non è in grado di verificare in modo indipendente che i dati ricevuti dal server siano sicuri. Ne consegue che per utilizzare in modo corretto l'opzione DNSSEC è necessario verificare che la connessione con il server DNS sia affidabile. Ad esempio, avviene su host locale o all'interno di una LAN o luogo di lavoro sicuro. |
