|
DNSSEC |
Scrollen Zurück Oberste Ebene Weiter Mehr |
Mithilfe der Option DNSSEC (DNS Security Extensions, Sicherheitserweiterungen für DNS) kann MDaemon als nicht-validierender, sicherheitsbewusster Stub-Resolver ("Non-Validating Security-Aware Stub Resolver") arbeiten. Die RFCs 4033 und 4035 definieren einen solchen Resolver als eine Einheit, die DNS-Abfragen übermittelt, DNS-Antworten empfängt, und einen angemessen gesicherten Kanal zu einem sicherheitsbewussten rekursiv arbeitenden Nameserver aufbauen kann, der diese Dienste für den sicherheitsbewussten Stub-Resolver erbringt". Dies bedeutet, dass MDaemon in den DNS-Abfragen den DNSSEC-Dienst von Ihren DNS-Servern anfordern kann, das Kennzeichen für echtheitsbestätigte Daten (AD, Authentic Data) in den Abfragen setzen und die Antworten auf sein Vorhandensein prüfen kann. Hierdurch wird während der Verarbeitung von DNS-Daten zusätzliche Sicherheit geschaffen; da aber noch nicht alle DNS-Server und Top-Level-Domänen DNSSEC unterstützen, kann diese zusätzliche Sicherheit nur für einen Teil der anfallenden Nachrichten wirksam werden.
DNSSEC wirkt auch nach der Aktivierung nur auf Nachrichten, die den festgelegten Auswahlkriterien entsprechen. Sie können daher flexibel bestimmen, in welchem Umfang DNSSEC genutzt werden soll. Auf diesem Konfigurationsdialog können Sie Kombinationen aus "Kopfzeile und Inhalt" bestimmen. MDaemon fordert dann bei der DNS-Abfrage DNSSEC für alle Nachrichten an, die den hierdurch bestimmten Kriterien entsprechen. Enthalten die DNS-Antworten keine echtheitsbestätigten Daten, so führt dies grundsätzlich nicht zu negativen Folgen, und MDaemon fällt nur auf normalen DNS-Betrieb zurück. Hiervon abweichend können Sie DNSSEC für bestimmte Nachrichten zwingend erforderlich machen, indem Sie der Kombination aus Kopfzeile und Inhalt das Schlüsselwort "SECURE" hinzusetzen (etwa To *@example.net SECURE). Enthalten bei Nachrichten, die solchen Kriterien entsprechen, die DNS-Antworten keine echtheitsbestätigten Daten, so werden diese Nachrichten an die Absender zurückgeleitet. Beachte: DNSSEC-Abfragen nehmen mehr Zeit in Anspruch und sind ressourcenintensiver als normale DNS-Abfragen, außerdem wird DNSSEC noch nicht durch alle Server unterstützt. MDaemon ist daher per Voreinstellung nicht darauf konfiguriert, für alle Nachrichten DNSSEC zu verwenden. Falls Sie DNSSEC für jede Nachricht verwenden wollen, fügen Sie in diesem Konfigurationsdialog den Eintrag "To *" hinzu.
Falls DNSSEC genutzt wurde, enthalten die Protokolle über die Übermittlung von Nachrichten zu Beginn einen entsprechenden Hinweis, und "DNSSEC" erscheint in den Protokollen neben den echtheitsbestätigten Daten.
|
MDaemon ist ein nicht-validierender Stub-Resolver. Dies bedeutet, dass MDaemon zwar echtheitsbestätigte DNS-Daten von Ihrem DNS-Server anfordern, aber nicht selbst prüfen kann, ob die Daten, die hierauf zurückgemeldet werden, tatsächlich sicher sind. Um das Leistungsmerkmal DNSSEC richtig einzusetzen, müssen Sie daher sicherstellen, dass die Verbindung zu Ihrem DNS-Server vertrauenswürdig ist, etwa, weil er auf dem localhost oder in einem sicheren Netzwerk oder einer sicheren Umgebung ausgeführt wird. |
