mox邮件服务器中的DNSSEC配置问题解析

背景介绍

mox是一个现代化的邮件服务器软件，它对DNS安全扩展(DNSSEC)有着严格的要求。DNSSEC通过数字签名验证DNS记录的真实性，防止DNS欺骗攻击，对于邮件服务器的安全至关重要，特别是涉及SMTP传输安全(DANE)和各类邮件认证机制(SPF、DKIM、DMARC等)时。

DNSSEC验证失败问题

在mox的快速启动检查中，用户可能会遇到两个与DNSSEC相关的警告：

1. 本地DNS解析器未验证DNSSEC：系统配置的DNS解析器要么不支持DNSSEC验证，要么未被明确信任
2. 域名未启用DNSSEC签名：邮件服务器无法验证发送/接收邮件时使用的MX/SPF/DKIM等记录的真实性

问题原因分析

本地DNS解析器信任问题

mox对DNSSEC验证结果("ad"标志位)的信任有特定规则：

• 仅自动信任来自环回地址(127.0.0.1等)的DNS响应中的"ad"标志
• 对于非环回地址(如内网DNS服务器10.x.x.x)，需要在/etc/resolv.conf中明确添加"options trust-ad"配置
• 公共互联网上的DNS响应中的"ad"标志不会被信任

这种设计是出于安全考虑，因为只有本地通信(环回接口)可以确保不被中间人攻击，而内网通信的安全性无法自动验证。

解决方案

1. 使用本地unbound解析器：

   • 安装unbound(DNSSEC验证递归DNS解析器)
   • 确保配置了DNSSEC根密钥(unbound-anchor)
   • 启用扩展DNS错误(EDE)支持(unbound 1.16.0+)
   • 添加配置文件/etc/unbound/unbound.conf.d/ede.conf：

     server:
         ede: yes
         val-log-level: 2
     

2. 信任内网DNS服务器： 如果必须使用内网DNS服务器(如路由器提供的)，需在/etc/resolv.conf中添加：

   options trust-ad
   

域名DNSSEC配置

即使本地解析器配置正确，如果域名本身未启用DNSSEC签名，mox仍会发出警告。这是因为：

• 邮件服务器无法验证接收到的MX/SPF/DKIM/DMARC/MTA-STS记录的真实性
• 无法使用DANE技术进行安全的SMTP传输认证
• 只能回退到MTA-STS验证或"机会性TLS"(不验证证书)

解决方案是在DNS运营商处为域名启用DNSSEC，并添加DANE记录。

验证方法

1. 检查本地解析器：

   dig +dnssec example.com @127.0.0.1
   

   查看响应中是否包含"ad"标志

2. 使用mox工具验证：

   mox dns lookup a example.com
   

   输出应显示"with dnssec"

总结

mox邮件服务器对DNSSEC的严格要求是其安全架构的重要组成部分。正确配置DNSSEC不仅能消除警告信息，更重要的是为邮件传输提供了基础的安全保障。管理员应当：

1. 确保本地使用支持DNSSEC的解析器(unbound)
2. 正确配置解析器信任关系
3. 为邮件域名启用DNSSEC签名
4. 考虑添加DANE记录增强SMTP安全性

通过这些措施，可以充分发挥mox邮件服务器的安全特性，保护邮件通信免受DNS相关攻击。