DANE

De NCad Wiki
Aller à la navigation Aller à la recherche

.:[ Serveur de Messagerie ]:.

Installation >> Postfix avec MySQL

Filtrage anti-spam : Anti-Spam SpamAssassin | Anti-Virus Clamav

Filtrage anti-virus : Plateforme de filtrage Amavis >> Amavis avec MySQL

Plus de fonctions : Ajouter un Disclaimer | DKIM Proxy | OpenDKIM | Mailman | Maildrop | DANE | SPF

Clients de messagerie : Configurer Thundirbird | Configurer Roundcube

Pour aller plus loin : Commandes messagerie | DNSBL | MX Backup
POSTFIX Logo.png

Introduction

Présentation

L'IETF (Internet Engineering Task Force) a proposé le protocole/mécanisme DANE (DNS - based Authentication of Named Entities) qui s’appuie sur le DNS pour authentifier des entités applicatives.
Cette démarche s'enregistre dans une logique de sécurisation des accès clients-serveurs en :

  • Sécurisant les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSSEC et TLS.
  • Mieux sécuriser les accès chiffrés des clients vers les serveurs.
  • Le principe est décrit dans les normes IETF suivantes :
    • RFC 6394: Cas d’utilisation DANE
    • RFC 6698: Protocole DANE

— Source: Wikipédia • https://fr.wikipedia.org/wiki/DNS_-_based_Authentication_of_Named_Entities

Prérequis

Pur illustrer la présente documentation nous disposons :

  • D'un serveur de messagerie Postfix opérationnel.
  • D'un nom de domaine (geocoucou.eu).
  • Du protocole DNSSEC d'activé sur notre racine DNS.

Configuration

Génération des certificats

  • Génération du certificat du serveur de messagerie avec Let's Encrypt :

certbot certonly --standalone -d mail.geocoucou.eu

Configuration du MTA

  • Editer le fichier de configuration /etc/postfix/main.cf puis y ajouter / modifier les lignes suivantes :
smtp_tls_security_level = dane
smtp_dns_support_level = dnssec

smtpd_tls_cert_file = /etc/letsencrypt/live/mail.geocoucou.eu/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.geocoucou.eu/privkey.pem
  • Editer le fichier de configuration /etc/postfix/master.cf puis y ajouter / modifier les lignes suivantes :
submission inet n       -       y       -       -       smtpd
   [...]
   -o smtpd_tls_security_level=encrypt
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_tls_auth_only=yes
  • Un redémarrage de Postfix est nécessaire pour la prise en compte des paramètres :
    service postfix restart

Configuration de la zone DNS

  • Récupération du hash sha256 du certificat serveur :

openssl x509 -in /etc/postfix/ssl/mail.geocoucou.eu.crt -outform DER | openssl sha256
RESULT : 4ab84c51c437130ba853dcc1345e831bc4af0b1f3d9c9c9f59cce9839e14356a

  • Le hash récupéré à l'étape précédente devra être utilisé pour les enregistrements DNS suivants à configurer dans le domaine de messagerie :
Enregistrement DNS Geocoucou.eu
Sous-domaine Type Utilisation Selecteur Correspondance Valeur Rôle
_25._tcp.mail TLSA 3 1 1 4ab84c51c437130ba853dcc1345e831bc4af0b1f3d9c9c9f59cce9839e14356a Connecteur SMTP
_587._tcp.mail TLSA 3 1 1 4ab84c51c437130ba853dcc1345e831bc4af0b1f3d9c9c9f59cce9839e14356a Connecteur SUBMISSION
_465._tcp.mail TLSA 3 1 1 4ab84c51c437130ba853dcc1345e831bc4af0b1f3d9c9c9f59cce9839e14356a Connecteur SMTPS

Vérification

Configuration TLS

  • Vérification du paramétrage de la liaison TLS à l'aide de la commande openssl :

openssl s_client -debug -starttls smtp -crlf -connect mail.geocoucou.eu:587 > postfix.txt
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R10
verify return:1
depth=0 CN = mail.geocoucou.eu
verify return:1
250 CHUNKING

Un code de retour 2XX indique que le serveur est prêt à traiter les requêtes du client.

Récupérée de « https://wiki.ncad.fr/index.php?title=DANE&oldid=4870 »