DANE și TSLA în Cloudflare

Serverele de e-mail sunt notoriu neglijente cu certificatele TLS și vor folosi frecvent și implicit orice certificat TLS oferit de serverul smtp destinatar, fără a efectua vreo verificare. (Pentru că, deși o practică proastă de securitate care oferă mai multă securitate în transport decât trimiterea e-mailului în text clar) Așadar, așteptările mele pentru suportul TLSA și absorbția curentă în serverele de e-mail este: nu este suficient pentru a fi relevant (încă?)

De asemenea, serverele de e-mail nu pot cripta fișierele .zip și atașamentele, așa că, în generația veche, serverele de e-mail obișnuiau să suprime fișierele zip cu fișiere .exe (inclusiv gmail) și obișnuiam să schimbăm extensiile cu .txt și am putea trimite fișierele .exe de asemenea, dar în zilele noastre Google blochează și astfel de binare, inclusiv fișiere js. intrebarea este cum? @Bob

Discuția legată de comunitatea Cloudflare are 5 ani și nu mai este relevantă. Cloudflare a adăugat de atunci înregistrări TLSA.

@Bob Serverele de mail nu sunt „nepăsătoare”. Un server de e-mail este configurat de administratori. Administratorii au de obicei un motiv pentru a configura modul în care configurează. Este o configurație relativ banală să solicite certificate CA pe serverele destinatare. Motivul pentru care nu se face acest lucru este că prea multe servere destinatare sunt configurate prost, rezultând e-mailuri nelivrabile.Același lucru este valabil și la primirea e-mailurilor, deoarece multe servere de trimitere nu vor accepta criptarea (observarea mea cel mai frecvent cu liste și buletine informative, probabil economisind costul resurselor.)

Criptarea @CADENTIC TLS este doar transport, deci va cripta totul. Problemele de tip de fișier la care vă referiți sunt probabil protecție anti-mailware care împiedică utilizatorii să deschidă tipuri de fișiere infectate frecvent.

criptările atașamentelor cred că sunt specifice serverului de e-mail. filtrările de fișiere sunt cel mai probabil filtrare anti-spam, de ex. Spam Assassin. așa că utilizatorul obișnuia să schimbe zip-ul, exe în text și le-ar putea trimite, dar în zilele noastre Gmail Outlook scanează și asta. nu numai extensiile atasamentului. @paul pot este cum au făcut-o?

Pe baza comentariilor dvs. la răspunsul meu de mai jos, trebuie să oferiți mai multe detalii pentru ca întrebarea dvs. să primească răspuns, deoarece în prezent, orice încercați să realizați și configurațiile dvs. actuale nu sunt explicate în mod adecvat în această întrebare.

Am activat DNSSEC, dar nu îmi dau seama cum pot adăuga DANE în timp ce calculele noastre backend sunt în spatele unui echilibrator de încărcare a rețelei în Oracle Cloud (la nivelul întotdeauna gratuit)? @Paul

Trebuie doar să creați înregistrarea TLSA.[Acest instrument](https://www.huque.com/bin/gen_tlsa) este unul dintre cele mai simple, deși nu conține multe explicații cu privire la ce este fiecare opțiune. Puteți crea mai multe înregistrări cu certificate diferite. Consultați [RFC 6698](https://datatracker.ietf.org/doc/html/rfc6698) și actualizările acestuia pentru mai multe informații.

Cloudflare onorează înregistrarea TLSA dacă le păstrați „Doar DNS” nici nu gestionează cheia în timp ce Cloudflare (internă) CA o schimbă și nici nu se îmbunătățește cu ea. deci cel mai probabil nu este benefic cu Cloudflare. Cloudflare este benefic pentru `https` `hsts`.

DNSSEC cred că nu este obligatoriu pentru TLSA, deoarece în cadrul serviciului de management DNS din `OCI` veți avea opțiuni pentru configurarea DANE și TLSA

Citiți Introducerea la [RFC 7671](https://datatracker.ietf.org/doc/html/rfc7671#section-1). Întregul lucru este construit pe DNSSEC, așa că nu am idee despre ce vorbești.

întrebarea această in alte limbi: