Mindestanforderungen
Minimale Anforderungen für die Einführung von DNSSEC/DANE (Auszug)
DNSSEC autoritativ
- alle autoritativen Nameserver einer Domain müssen DNSSEC-fähig sein
- ISC BIND 9.6+, dnssec-enable yes
- Parentzone (üblicherweise .de) und DNS-Registrar (üblicherweise DFN) müssen DNSSEC-fähig sein
- Erstellung von DNSSEC-Signaturen bei Änderung an Zonen
- Signatur direkt auf dem Master
- ISC BIND 9.8+ für automatisches Keymanagement (empfohlen!) (Ubuntu 12.04 Precise, Debian Wheezy)
- Signatur auf einem Zwischensystem (Inline Signing Proxy)
- ISC BIND 9.9+ (Ubuntu 14.04 Trusty, Debian Jessie, SLES 11)
oder - OpenDNSSEC
- ISC BIND 9.9+ (Ubuntu 14.04 Trusty, Debian Jessie, SLES 11)
- Signatur direkt auf dem Master
DNSSEC rekursiv
- Rekursiver DNS-Server mit DNSSEC-Validierung
- BIND 9.8+ (Ubuntu 12.04 Precise, Debian Wheezy, SLES 11)
- Unbound 1.4+ (Ubuntu 12.04, Debian Squeeze)
- MTU-Discovery und DNS auf Port 53/TCP ist freigeschaltet, u.U. Probleme mit alten Firewalls im Netz
- Upstream-Resolver (wenn in Verwendung) müssen DNSSEC-fähig sein (nicht unbedingt validieren)
- gefährlich: Views einer DNSSEC-signierten Zone
DANE eingehend
- STARTTLS-fähiger Mailserver in den MX-Records
- Zone mit MX-Record und Zone mit A/AAAA-Records des Mailservers muss DNSSEC-signiert sein
- TLSA-Records in Zone generierbar (evtl. Anpassungen der selbstgestrickten Tools nötig)
- kein Zertifikatswechsel ohne Anpassung der TLSA-Records
- sonst keine besonderen Softwareanforderungen
DANE ausgehend
- DNSSEC rekursiv (notfalls mit einem lokalen Resolver auf dem Mailserver)
- DANE/TLSA-fähige Software auf dem ausgehenden Mailserver
- Postfix 2.11+ mit OpenSSL 1.0 (Ubuntu 14.04 Trusty, Debian Wheezy+Backports oder Jessie, SLES 12)
- nicht SLES11, selbst nicht mit Server-Mail Repository, da Postfix dort gegen OpenSSL 0.9.8 gelinkt ist
- Exim 4.85+ (Debian Jessie+Backports, kommend in Ubuntu 16.04 und Debian Stretch)
- Postfix 2.11+ mit OpenSSL 1.0 (Ubuntu 14.04 Trusty, Debian Wheezy+Backports oder Jessie, SLES 12)