Mindestanforderungen

Minimale Anforderungen für die Einführung von DNSSEC/DANE (Auszug)

DNSSEC autoritativ

  • alle autoritativen Nameserver einer Domain müssen DNSSEC-fähig sein
    • ISC BIND 9.6+, dnssec-enable yes
  • Parentzone (üblicherweise .de) und DNS-Registrar (üblicherweise DFN) müssen DNSSEC-fähig sein
  • Erstellung von DNSSEC-Signaturen bei Änderung an Zonen
    • Signatur direkt auf dem Master
      • ISC BIND 9.8+ für automatisches Keymanagement (empfohlen!) (Ubuntu 12.04 Precise, Debian Wheezy)
    • Signatur auf einem Zwischensystem (Inline Signing Proxy)
      • ISC BIND 9.9+ (Ubuntu 14.04 Trusty, Debian Jessie, SLES 11) 
        oder
      • OpenDNSSEC


DNSSEC rekursiv

  • Rekursiver DNS-Server mit DNSSEC-Validierung
    • BIND 9.8+ (Ubuntu 12.04 Precise, Debian Wheezy, SLES 11)
    • Unbound 1.4+ (Ubuntu 12.04, Debian Squeeze)
  • MTU-Discovery und DNS auf Port 53/TCP ist freigeschaltet, u.U. Probleme mit alten Firewalls im Netz
  • Upstream-Resolver (wenn in Verwendung) müssen DNSSEC-fähig sein (nicht unbedingt validieren)
  • gefährlich: Views einer DNSSEC-signierten Zone


DANE eingehend

  • STARTTLS-fähiger Mailserver in den MX-Records
  • Zone mit MX-Record und Zone mit A/AAAA-Records des Mailservers muss DNSSEC-signiert sein
  • TLSA-Records in Zone generierbar (evtl. Anpassungen der selbstgestrickten Tools nötig)
  • kein Zertifikatswechsel ohne Anpassung der TLSA-Records
  • sonst keine besonderen Softwareanforderungen

DANE ausgehend

  • DNSSEC rekursiv (notfalls mit einem lokalen Resolver auf dem Mailserver)
  • DANE/TLSA-fähige Software auf dem ausgehenden Mailserver
    • Postfix 2.11+ mit OpenSSL 1.0 (Ubuntu 14.04 Trusty, Debian Wheezy+Backports oder Jessie, SLES 12)
      • nicht SLES11, selbst nicht mit Server-Mail Repository, da Postfix dort gegen OpenSSL 0.9.8 gelinkt ist
    • Exim 4.85+ (Debian Jessie+Backports, kommend in Ubuntu 16.04 und Debian Stretch)