|
DNSSEC |
Прокрутить Назад Начало Далее Больше |
Новая опция DNSSEC (DNS Security Extensions) позволит серверу MDaemon выполнять функции не проверяющего корректность защищенного оконечного преобразователя (Non-Validating Security-Aware Stub Resolver), который согласно спецификациям RFC4033и4035является "объектом, передающим запросы DNS, получающим отклики DNS и способным создавать подобающим образом защищенный канал к защищенному серверу имен, который будет выполнять эти задачи от имени оконечного защищенного преобразователя". Это означает, что во время DNS-запросов MDaemon он может запрашивать службу DNSSEC с ваших DNS-серверов, устанавливая бит AD (Authentic Data) в запросах и проверяя его в ответах. Предлагаемое нововведение обеспечит дополнительный уровень защиты для части вашей электронной корреспонденции, однако не для всей почты, поскольку технология DNSSEC на данный момент поддерживается не всеми серверами DNS и может использоваться не всеми доменами верхнего уровня.
При включении сервис DNSSEC применяется только к тем сообщениям, которые соответствуют установленному критерию отбора; сервис может быть рекомендованным (requested) или обязательным (required), а масштабы его применения зависят только от заданных вами настроек. Просто введите нужную комбинацию "Значение заголовка" на экране DNSSEC и MDaemon при выполнении DNS-запросов будет запрашивать сервис DNSSEC для всех сообщений, соответствующих данному критерию. Если в результатах запроса DNS не будут обнаружены аутентичные данные, никаких серьезных мер предприниматься не будет; MDaemon просто продолжит использовать DNS в обычном режиме. Однако, если вы хотите, чтобы сервисrequireDNSSEC обязательно применялся к определенным сообщениям, добавьте строку "SECURE" в комбинацию заголовок/значение (например: To *@example.net SECURE). В этом случае при отсутствии аутентичных данных в результатах, полученных от сервера DNS, сообщение будет возвращено отправителю. Примечание:Опросы DNSSEC связаны с дополнительными затратами времени и ресурсов, кроме того, на данный момент DNSSEC поддерживается не всеми серверами, по этой причине технология не применяется к каждому сообщению по умолчанию. Впрочем, при желании вы можете обеспечить принудительное использование DNSSEC в каждом отправляемом сообщении, путем добавления единственной строки (наподобие "To *") в критерий отбора.
При использован ии сервиса DNSSEC в журналах почтовой сессии появится соответствующая строка, кроме того, напротив защищаемого объекта будет отображаться пометка "DNSSEC".
|
Поскольку сервер MDaemon является не проверяющим корректность защищенным оконечным преобразователем, он будет запрашивать аутентичные данные у вашего сервера DNS, но не сможет самостоятельно подтвердить безопасность этих данных. По этой причине для успешного использования функции DNSSEC вы должны быть уверены в надежности подключения к вашему DNS-серверу. Например, этот сервер должен работать на локальном хосте или внутри защищенной сети. |
