Podařilo se mi dosáhnout 100% při testu emailu na https://internet.nl/mail/lixis.cz/1101332/.
Dosáhl jsem toho tak, že jsem přidal TLSA záznamy pro náš mail server mx2.lixis.cz do zóny lixis.cz. (Potom už DANE v testu nedržkuje.)
Mail server používá certifikát podepsaný Let’s Encryptem, který je v /etc/ssl/mx2.lixis.cz.crt
Skriptík na výrobu TLSA záznamu:
#!/bin/sh
SERVER="mx2.lixis.cz"
TLSA_FILE="/root/_25._tcp.$SERVER.tlsa"
echo -n "_25._tcp.$SERVER. IN TLSA 3 1 1 " > $TLSA_FILE
openssl x509 -in /etc/ssl/$SERVER.crt -pubkey -noout | openssl rsa -pubin -outform der | sha256 >> $TLSA_FILEToto mi vygeneruje takovýto TLSA záznam:
_25._tcp.mx2.lixis.cz. IN TLSA 3 1 1 0bd768eb1acf62119c2f90db98059299d7128083202fce20d5356d30df1f380eTLSA záznam tohoto typu se nemusí obnovovat při obnově podpisu certifikátu (Aspoň v to doufám, protože pro starý certifikát mě to udělalo TLSA to samé.)
Můžete si skriptík upravit a zařadit do své DNS a máte 100% test také. Dělal jsem to na OpenBSD, avšak na Linuxu by to mělo být to samé, místo #!/bin/sh dáte #!/bin/bash, místo sha256 bude sha256sum.
Zdroje a odkazy
Webový generátor pro TLSA záznamy je zde: https://ssl-tools.net/tlsa-generator
Povídání o DANE je zde: https://www.samuraj-cz.com/clanek/zabezpeceni-smtp-komunikace-pomoci-dane/