DANE(命名实体的 DNS-based Authentication)是用于邮件传输的安全选项。 DANE 使用 DNSSEC 基础架构并使用 TLSA 记录来验证收件人服务器的身份。通过在发件人和收件人之间建立安全通道,DANE 可防止电子邮件在传输过程中被拦截或落入他人之手。本文将引导您了解如何在MailPlus Server中启用 DANE 以及如何将 TLSA 记录发布到公共 DNS。
在MailPlus Server中启用 DANE
启用 DANE 验证可让MailPlus Server在启动邮件传输时验证其他服务器的 TLS 证书。
- 启动MailPlus Server。
- 进入安全性 > 验证 > DANE。
- 勾选启用 DANE 验证复选框。
- 在以下级别之间进行选择:
- 机会验证:仅当接收服务器支持 DANE 并设置了 TLSA 记录时,才会执行 DANE 验证。
- 强制验证:将始终执行 DANE 验证。
- 单击应用以保存设置。
部署 TLSA 记录
TLSA(传输层安全性验证)记录将 TLS 服务器证书与记录所在的域名相关联。如果在将电子邮件递送到MailPlus Server时另一台邮件服务器正在使用 DANE,它将验证MailPlus Server 的 TLSA 记录。如果没有记录, MailPlus Server将无法通过验证,您可能无法接收从该特定服务器发送的电子邮件。
重要提示:当您的 SSL 证书续订时,您需要在 DNS 服务器上重新生成并手动更新 TLSA 记录。为了减少手动操作的频率,我们建议使用付费 SSL 证书,与 Let's Encrypt 等免费选项相比,此证书的有效期更长。
生成 TLSA 记录
- 启动MailPlus Server 。
- 进入安全性 > 验证 > DANE。
- 单击生成 TLSA 记录。
- 指定 TLSA 记录的参数。请参阅RFC 6698以了解每个参数的含义。
- 单击确定以生成记录。
在公共 DNS 中部署 TLSA 记录
重要事项:必须在域上启用 DNSSEC 才能使 TLSA 记录正常工作。
- 进入公共 DNS 或联系域供应商以获得帮助。
- 按如下所示添加记录:
- 类型:设置为TLSA。
- 使用情况、选择器和匹配类型:输入MailPlus Server中提供的参数。
- 证书:粘贴MailPlus Server中的证书关联数据。
结果和状态
DANE 基于使用 DNSSEC 签署的 A、MX 和 TLSA 记录来验证接收服务器的身份。验证结果和相应状态如下表所示:
方案 | 未找到 TLSA 记录 | 3 个记录任一是不安全的 | 3 个记录任一是伪造的 | 所有 3 条记录都是安全的 |
---|---|---|---|---|
投机取巧 | 不受信任 | 不受信任 | 延期 | 已验证 |
强制 | 延期 | 延期 | 延期 | 已验证 |
在下列情况下将不会执行 DANE 验证:
- 收件人域在允许列表中。
- DANE 未在MailPlus Server中启用。
术语
结果
- 安全:正确设置 DNSSEC 的域
- 不安全:没有 DNSSEC 相关记录的域
- 伪造:已设置 DNSSEC 但由于以下原因导致验证失败的域:
- 无效的 TLSA 记录
- 密钥过期
- 信任链中的记录或密钥丢失
状态
- 已验证:通过 DANE 验证后,使用受信任的 TLS 发送电子邮件
- 不受信任:使用不受信任的 TLS 发送电子邮件,同时不强制执行 DANE 验证
- 延期:电子邮件不会发送,并将在整个生命周期中保留在重试队列中
注:
- 启用 DANE 后,所有必需的 DNS 记录都需要使用 DNSSEC 进行签名。
- Synology DNS Server当前不支持 DNSSEC。