Am Donnerstag, 15. Januar 2015, 12:23:36 schrieb Frank Fiene:
Hmmm, DNSVIZ gibt einen Timeout für meinen Primary DNS an, brauchen die unbedingt TCP/53? Scheint so …
DNSSEC Antworten können ziemlich lang werden. Wenn die Antwort nicht in ein udp Paket (MTU =1500 Byte!) passt, sagt der DNS Server, dass der Client noch einmal per TCP anfragen soll.
Mach mal einen tcpdump auf port 53 tcp und udp!
Ist das ein Problem, als Mailserver nutze ich den Firmenmailserver, muss diese Domain auch komplett DNSSEC geschützt sein oder reicht da der TLSA-Record.
Kein Problem. Du musst nur die Signatur des Zertifikats des Mailservers in Deiner Zone veröffentlichen und signieren.
Wobei funktioniert ein TLSA-Record überhaupt ohne eine DNSSEC-abgesicherte Domain?
Siehe: https://sys4.de/de/blog/2014/05/24/einen-tlsa-record-fuer-dane-mit-bind-9-pu...
und
https://sys4.de/en/blog/2014/05/23/dnssec-fuer-mailserver-richtig-einrichten...
Ohne DNSSEC geht das nicht, weil der Client dann den DNS Informationen nicht vertrauen kann.
Mit freundlichen Grüßen,
Michael Schwartzkopff