Einmal DANE immer DANE?

[Jan Behrend]

Moin Liste,

wie stelle ich es an, dass Postfix, wenn es denn einmal eine "Verified TLS
connection established" (DANE) erfolgreich durchgeführt hat, diese dann zu
dieser Domain auch zukünfig auch immer wieder verlangt?
Ich kann schon immer die smtp_tls_policy_maps anpassen, wenn ich im Logfile
entsprechende Einträge finde, jedoch ist das niemals vollständig und zeitnah
schon gar nicht.

Ist so etwas überhaupt sinnvoll?  Reicht die bloße Existenz des TLSA-RR Eintrags
aus, damit Postfix DANE erzwingt?  Könnte es ein Angriffs-Szenario geben, dass
das den obigen Wunsch rechtfertigt?  Wenn ja, warum gibt es dann die Option
"dane-only" für smtp_tls_policy(_maps)?

Bsp:
mailbox.org                       dane-only    
.mailbox.org                      dane-only

Vielen Dank schon im Voraus und
Gruß aus Bonn von Jan

-- 
MAX-PLANCK-INSTITUT fuer Radioastronomie
Jan Behrend - Rechenzentrum
----------------------------------------
Auf dem Huegel 69, D-53121 Bonn                                  
Tel: +49 (228) 525 359, Fax: +49 (228) 525 229
http://www.mpifr-bonn.mpg.de


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 6273 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20170111/7c8cf3d2/attachment.bin>