Wenn mal wieder die Online-Portale zum Prüfen von TLSA Records nicht funktionieren (weil vielleicht dein Mailserver gerade einen postscreen-Schnupfen hat), kann man das auch prima an der Kommandozeile machen:
- Die Prüfsumme aus dem TLSA Record kratzen. Beispiel:
dig _25._tcp.mail.djonz.de IN TLSA +short | awk '{print tolower($4$5)}'
6c3179f23a7890d188001d21dc5e3ab9d5990fc3224309ea8bb1b356ad8f8bcd
- Diese Prüfsumme mit openssl verwenden um zu prüfen, ob die auf dem Server verwendeten Zertifikate passen:
echo quit | openssl s_client -starttls smtp -connect mail.djonz.de:25 -dane_tlsa_domain "djonz.de" -dane_tlsa_rrdata "3 1 1 6c3179f23a7890d188001d21dc5e3ab9d5990fc3224309ea8bb1b356ad8f8bcd"
- Ausgabe parsen:
...
Verification: OK
Verified peername: djonz.de
DANE TLSA 3 1 1 ...224309ea8bb1b356ad8f8bcd matched EE certificate at depth 0
...
Verify return code: 0 (ok)
Alles andere als zweimal “OK” und einmal “matched” ist nicht gut. xD