Introduction

Présentation

L'IETF (Internet Engineering Task Force) a proposé le protocole/mécanisme DANE (DNS - based Authentication of Named Entities) qui s’appuie sur le DNS pour authentifier des entités applicatives.
Cette démarche s'enregistre dans une logique de sécurisation des accès clients-serveurs en :

• Sécurisant les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSSEC et TLS.
• Mieux sécuriser les accès chiffrés des clients vers les serveurs.
• Le principe est décrit dans les normes IETF suivantes :
  • RFC 6394: Cas d’utilisation DANE
    
  • RFC 6698: Protocole DANE

— Source: Wikipédia • https://fr.wikipedia.org/wiki/DNS_-_based_Authentication_of_Named_Entities

Prérequis

Pour pouvoir configurer DANE sur notre serveur de messagerie Postfix, les conditions suivantes doivent déjà être remplies :

• Disposer d'un serveur de messagerie Postfix opérationnel.
• D'un nom de domaine (geocoucou.eu) pleinement fonctionnel.
• Du protocole DNSSEC d'activé sur la racine DNS de notre nom de domaine.

Configuration

Génération des certificats

• La génération du certificat du serveur de messagerie s'effectue avec Let's Encrypt :

• Le certificat est ensuite enregistré dans le dossier /etc/letsencrypt/live/domaine.tld/.

Configuration du MTA

• Editer le fichier de configuration /etc/postfix/main.cf puis y ajouter / modifier les lignes suivantes :

# Activation de DANE
smtp_tls_security_level = dane
smtp_dns_support_level = dnssec

# Configuration des certificats
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.geocoucou.eu/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.geocoucou.eu/privkey.pem

# Emplacement des autorités de certification de confiance
smtp_tls_CApath = /etc/ssl/certs
smtpd_tls_CApath = /etc/ssl/certs

• Editer le fichier de configuration /etc/postfix/master.cf puis y ajouter / modifier les lignes suivantes :

submission inet n       -       y       -       -       smtpd
   [...]
   -o smtpd_tls_security_level=encrypt
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_tls_auth_only=yes

• Un redémarrage de Postfix est nécessaire pour la prise en compte des paramètres :
  
  service postfix restart

Configuration de la zone DNS

• Récupération du hash sha256 de la clé privée du certificat du serveur :

• Il est possible de vérifier le bon fonctionnement du hash récupéré précédemment avec la commande suivante :

• Le hash devra être renseigné dans un enregistrements DNS de type TLSA sur le domaine de messagerie :

• Avec les indications suivantes pour chacun des enregistrements :
  • Utilisation à 3 : Pour définir le niveau de confiance uniquement à notre certificat (peu importe si il soit auto-signé ou pas).
  • Sélecteur à 1 : Permet d'indiquer que le champ TLSA contient la clé publique du certificat.
  • Correspondance à 2 : Permet d'indiquer que la clé est hashée via SHA-256.

Configuration des rapports TLSRPT

Fonctionnement

TLSRPT est un mécanisme décrit dans la RFC 8460 qui permet d'activer la génération de rapport d'erreurs lorsqu'un serveur d'envoi de messagerie rencontre un problème lors de la négociation de la liaison TLS vers le serveur de messagerie de destination. Ce mécanisme est similaire à celui de DMARC.

Configuration

• Ajout d'un enregistrement DNS permettant d'indiquer à quelle adresse mail les rapports d'activité TLSA devront être envoyés. Dans notre cas, il s'agit de l'adresse de messagerie tlsa-reports@geocoucou.eu.

Vérification

Configuration TLS

• Vérification du paramétrage de la liaison TLS à l'aide de la commande openssl :

• Vérification de la connexion au MTA via une liaison TLS à l'aide du journal d'évènements de Postfix (/var/log/mail.log) :

Jun 17 21:12:34 geocoucoumail postfix/smtpd[3833973]: Trusted TLS connection established from mail-oo1-xc2d.google.com[2607:f8b0:4864:20::c2d]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256 client-signature RSA-PSS (2048 bits) client-digest SHA256
Jun 17 21:12:34 geocoucoumail postfix/smtpd[3833973]: warning: d.2.c.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.4.6.8.4.0.b.8.f.7.0.6.2.ix.dnsbl.manitu.net: RBL lookup error: Host or domain name not found. Name service error for name=d.2.c.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.4.6.8.4.0.b.8.f.7.0.6.2.ix.dnsbl.manitu.net type=A: Host not found, try again
Jun 17 21:12:35 geocoucoumail dkimproxy.in[3829373]: connect from 127.0.0.1
Jun 17 21:12:35 geocoucoumail postfix/smtpd[3834015]: connect from localhost[127.0.0.1]
Jun 17 21:12:35 geocoucoumail postfix/smtpd[3833973]: NOQUEUE: client=mail-oo1-xc2d.google.com[2607:f8b0:4864:20::c2d]
Jun 17 21:12:35 geocoucoumail postfix/smtpd[3834015]: 22C4E200FA: client=localhost[127.0.0.1], orig_client=mail-oo1-xc2d.google.com[2607:f8b0:4864:20::c2d]
Jun 17 21:12:35 geocoucoumail dkimproxy.in[3829373]: DKIM verify - pass; message-id=<CAAaFqx0VsycF=mQAA=UNGa_PaS-2BFR4BXkurWrujXbPdGaL3Q@mail.gmail.com>, signer=<@gmail.com>, from=<xxxxxx@gmail.com>
Jun 17 21:12:35 geocoucoumail postfix/cleanup[3834017]: 22C4E200FA: message-id=<CAAaFqx0VsycF=mQAA=UNGa_PaS-2BFR4BXkurWrujXbPdGaL3Q@mail.gmail.com>
Jun 17 21:12:35 geocoucoumail postfix/qmgr[3833971]: 22C4E200FA: from=<xxxxxx@gmail.com>, size=21349, nrcpt=1 (queue active)
Jun 17 21:12:35 geocoucoumail postfix/smtpd[3833973]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 Ok: queued as 22C4E200FA; from=<xxxxxx@gmail.com> to=<xxxxxx@geocoucou.eu> proto=ESMTP helo=<mail-oo1-xc2d.google.com>
Jun 17 21:12:35 geocoucoumail postfix/smtpd[3834015]: disconnect from localhost[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Jun 17 21:12:35 geocoucoumail postfix/pipe[3834018]: 22C4E200FA: to=<xxxxxx@geocoucou.eu>, relay=maildrop, delay=0.32, delays=0.21/0.08/0/0.03, dsn=2.0.0, status=sent (delivered via maildrop service)
Jun 17 21:12:35 geocoucoumail postfix/qmgr[3833971]: 22C4E200FA: removed
Jun 17 21:12:35 geocoucoumail postfix/smtpd[3833973]: disconnect from mail-oo1-xc2d.google.com[2607:f8b0:4864:20::c2d] ehlo=2 starttls=1 mail=1 rcpt=1 bdat=1 quit=1 commands=7