DNSSEC(DNS安全扩展)选项允许 MDaemon 充当非验证安全感知存根解析程序的作用,这在4033 和 4035作为“发送 DNS 查询、接收 DNS 响应、并能与与认知安全的递归命名服务器建立合适的安全通道的实体,该服务器代表认知安全的存根解析程序提供这些服务”。这意味着,在 MDaemon 的 DNS 查询过程中,您可以向 DNS 服务器请求 DNSSEC 服务,在查询中设置 AD(真实数据) 位并在并在回应中进行检查。这可以在 DNS 过程中为某些邮件提供额外的安全级别,但不是全部邮件,因为 DNSSEC 尚不受所有 DNS 服务器或所有顶级域名的支持。
启用时,DNSSEC 服务仅适用于符合您选择标准的邮件;它可以根据您的选择广泛或狭义地请求或要求。只需指定您在 DNSSEC 屏幕上选择的任何“报头值”组合即可,每当执行 DNS 查询时,MDaemon 都将为符合该标准的任何邮件请求 DNSSEC 服务。当 DNS 结果未包含验证数据时,则不会产生负面后果;MDaemon 只是回退到常规的 DNS 行为。如果您希望为某些邮件“请求”DNSSEC,则将“安全”添加到报头/值组合(例如“To *@example.net SECURE”)。对于这些邮件,当 DNS 结果无法包含验证的数据,会将该邮件退回发件人。请注意: 因为 DNSSEC 查找需要更多时间和资源,而且并非所有服务器都支持 DNSSEC,因此默认情况下,MDaemon 未配置成将 DNSSEC 应用于每封邮件传递。不过如果您希望为每封邮件请求 DNSSEC,您可以在条件中包含“To *”来实现这点。
如果使用 DNSSEC 服务,邮件会话日志将在顶部包含一行,并且日志中的安全数据旁边将显示“DNSSEC”。
|
由于 MDaemon 是一个非验证存根解析器,它将向您的 DNS 服务器请求验证数据,但无法独立验证从服务器获得的数据是否安全。出于这个原因,为了安全地使用 DNSSEC 选项,您必须确保您信任与您的 DNS 服务器建立的连接。例如,它运行在本地主机上或安全局域网或工作区内。 |
