Marko Schulz 01. December 2024 - 18:50 01. December 2024 - 18:50

Postfix mit DANE erweitern

Aktivieren lässt sich die Unterstützung für DANE / TLSA mit folgenden Konfigurationsänderungen.

vi /etc/postfix/main.cf
....
# DANE Settings
#
smtp_dns_support_level = dnssec
smtp_tls_security_level = dane

TLSA Hash erzeugen

openssl x509 -in /etc/letsencrypt/live/earth.example.com/fullchain.pem -outform DER | openssl sha256
(stdin)= 5265a1ea8c86412ca416d5f9f93a9e2657ce63186ebebd8d0786dd8746c3ca02

Neuer TLSA Record

_25._tcp.earth.example.com. 1H IN TLSA 3 1 1 5265a1ea8c86412ca416d5f9f93a9e2657ce63186ebebd8d0786dd8746c3ca02

Dokumentation

• https://thomas-leister.de/dane-tlsa-records-erklaert/
• https://www.kernel-error.de/projekte/postfix/postfix-dane-tlsa
• https://de.ssl-tools.net/tlsa-generator