L'option DNSSEC (DNS Security Extensions) permet à MDaemon d'agir en tant que résolveur stub non validant, défini dans les RFC 4033Lien et 4035Lien comme "une entité qui envoie des requêtes DNS, reçoit des réponses DNS et est capable d'établir un canal sécurisé avec un serveur de noms récursif sécurisé qui fournira ces services pour le compte du résolveur stub sécurisé"."Cela signifie que lors des requêtes DNS de MDaemon, il peut demander le service DNSSEC à vos serveurs DNS, en paramétrant le bit AD (Authentic Data) dans les requêtes et en le vérifiant dans les réponses. Cela peut fournir un niveau de sécurité supplémentaire pendant le processus DNS pour certains messages, mais pas tous, car le service DNSSEC n'est pas encore pris en charge par tous les serveurs DNS ou pour tous les domaines de premier niveau.
Lorsqu'il est activé, le service DNSSEC n'est appliqué qu'aux messages qui répondent à vos critères de sélection ; il peut être demandé ou exigé de manière aussi large ou aussi restreinte que vous le souhaitez. Il vous suffit de désigner les combinaisons de "Valeurs en-tête" que vous choisissez dans cet écran pour que MDaemon demande le service DNSSEC pour tous les messages correspondant à ce critère lorsqu'il effectue une requête DNS. Lorsque les résultats DNS ne contiennent pas de données authentifiées, il n'y a pas de conséquences négatives ; MDaemon revient simplement au comportement normal du DNS. Si, toutefois, vous souhaitez exiger le protocole DNSSEC pour certains messages, ajoutez "SECURE" à la combinaison en-tête/valeur (par exemple, To *@example.net SECURE). Pour ces messages, lorsque les résultats DNS n'incluent pas de données authentifiées, le message sera renvoyé à l'expéditeur. Remarque : Étant donné que les recherches DNSSEC prennent plus de temps et de ressources, et que DNSSEC n'est pas encore pris en charge par tous les serveurs, MDaemon n'est pas configuré pour appliquer DNSSEC à chaque livraison de message par défaut. Cependant, si vous souhaitez demander l'application du DNSSEC pour chaque message, vous pouvez le faire en incluant "To *" dans vos critères.
Les journaux de session de messagerie incluront une ligne en haut si le service DNSSEC a été utilisé et "DNSSEC" apparaîtra à côté des données sécurisées dans les journaux.
|
MDaemon étant un stub-resolver non validant, il demandera des données authentifiées à votre serveur DNS, mais il n'a aucun moyen de vérifier de manière indépendante que les données qu'il reçoit du serveur sont sécurisées. C'est pourquoi, pour utiliser avec succès l'option DNSSEC, vous devez vous assurer que vous avez confiance dans votre connexion à votre serveur DNS. Exemple : il fonctionne sur localhost ou au sein d'un réseau local ou d'un lieu de travail sécurisé. |
