The SMTP MTA Strict Transport Security RFC 8461, 2 afirmă clar că:
Cu toate acestea, MTA-STS este conceput pentru a nu interfera cu implementările DANE
când cele două se suprapun; în special, expeditorii care implementează MTA-STS
validarea NU TREBUIE să permită validarea politicii MTA-STS să suprascrie a
eșuând validarea DANE.
În prezent se pare că, cu următoarea configurație Postfix, MTA-STA suprascrie DANE (RFC 6698) validare atunci când destinatarul le-a implementat pe ambele, așa cum se discută în mta-sts-daemon's problema #67, iar DANE este folosit numai dacă domeniul este listat în mod explicit în prima potrivire smtp_tls_policy_maps (/etc/postfix/tls_policy) la fel de numai danez.
# Oportunist DANE TLS
smtp_tls_security_level = dane
smtp_dns_support_level = dnssec
# MTA-STS
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_policy_maps =
hash:/etc/postfix/tls_policy,
socketmap:inet:127.0.0.1:8461:postfix
A găsit cineva o modalitate de a configura Postfix într-un mod compatibil cu RFC 8461, și anume că validarea politicii MTA-STS prin mta-sts-daemon nu poate schimba hărțile de politici pentru domeniile care au ambele tehnologii activate? Acest lucru ar necesita o furnizare externă suplimentară „dane-daemon”? numai danez smtp_tls_policy_maps pentru domeniile care au DANE activat?
