Introduction

Présentation

L'IETF (Internet Engineering Task Force) a proposé le protocole/mécanisme DANE (DNS - based Authentication of Named Entities) qui s’appuie sur le DNS pour authentifier des entités applicatives.
Cette démarche s'enregistre dans une logique de sécurisation des accès clients-serveurs en :

• Sécurisant les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSSEC et TLS.
• Mieux sécuriser les accès chiffrés des clients vers les serveurs.
• Le principe est décrit dans les normes IETF suivantes :
  • RFC 6394: Cas d’utilisation DANE
    
  • RFC 6698: Protocole DANE

— Source: Wikipédia • https://fr.wikipedia.org/wiki/DNS_-_based_Authentication_of_Named_Entities

Prérequis

Pur illustrer la présente documentation nous disposons :

• D'un serveur de messagerie Postfix opérationnel.
• D'un nom de domaine (geocoucou.eu).
• Du protocole DNSSEC d'activé sur notre racine DNS.

Configuration

Génération des certificats

• Génération du certificat du serveur de messagerie avec Let's Encrypt :

Configuration du MTA

• Editer le fichier de configuration /etc/postfix/main.cf puis y ajouter / modifier les lignes suivantes :

smtpd_tls_cert_file = /etc/letsencrypt/live/mail.geocoucou.eu/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.geocoucou.eu/privkey.pem

• Editer le fichier de configuration /etc/postfix/master.cf puis y ajouter / modifier les lignes suivantes :

   -o smtpd_tls_security_level=encrypt
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_tls_auth_only=yes

Configuration de la zone DNS

• Récupération du hash sha256 du certificat serveur :

• Le hash récupéré à l'étape précédente devra être utilisé pour les enregistrements DNS suivants à configurer dans le domaine de messagerie :