Moin Moin!
Ich bin gerade dabei, zum Testen meine eigene Domain fiene.io mit DNSsec und DANE auszurüsten um das später mit unserer produktiven Domain auch durchführen zu lassen.
Ich versuche mit dem DANE SMTP Validator https://dane.sys4.de https://dane.sys4.de/ (Danke, sys4!) das Ganze zu testen und weiß, dass da noch nicht alles fertig ist.
Es kann ja jeder mal versuchen: https://dane.sys4.de/smtp/fiene.io https://dane.sys4.de/smtp/fiene.io und da fängt schon meine erste Frage an:
Warum ist DNSSEC oben gelb und unten rot? http://dnssec-debugger.verisignlabs.com/fiene.io http://dnssec-debugger.verisignlabs.com/fiene.io zeigt wenigstens, dass DNSsec richtig konfiguriert ist.
Wenn ich auf Show Details klicke, kommt auch keine Erläuterung
Viele Grüße! Frank
Am 15.01.2015 um 12:01 schrieb Frank Fiene:
Warum ist DNSSEC oben gelb und unten rot? http://dnssec-debugger.verisignlabs.com/fiene.io zeigt wenigstens, dass DNSsec richtig konfiguriert ist.
Schau Dir mal den Fehler auf
http://dnsviz.net/d/fiene.io/dnssec/
an.
Peer
Ja, mein Primary ist nicht erreichbar! :-(
Mist
Am 15.01.2015 um 12:05 schrieb Peer Heinlein p.heinlein@heinlein-support.de:
Am 15.01.2015 um 12:01 schrieb Frank Fiene:
Warum ist DNSSEC oben gelb und unten rot? http://dnssec-debugger.verisignlabs.com/fiene.io zeigt wenigstens, dass DNSsec richtig konfiguriert ist.
Schau Dir mal den Fehler auf
http://dnsviz.net/d/fiene.io/dnssec/
an.
Peer
-- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42 Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin
Viele Grüße! i.A. Frank Fiene
On 15.01.2015 12:01, Frank Fiene wrote:
Es kann ja jeder mal versuchen: https://dane.sys4.de/smtp/fiene.io und da fängt schon meine erste Frage an:
Warum ist DNSSEC oben gelb und unten rot? http://dnssec-debugger.verisignlabs.com/fiene.io zeigt wenigstens, dass DNSsec richtig konfiguriert ist.
Steht doch da ... du verweist als MX auf mail*.veka.com, für die aber kein DNSSEC angelegt ist ... somit kann das nicht gut gehen ... für fiene.io sieht es aber soweit in der Tat OK aus, auch DNSVIZ kommt gut durch ...
-garry
Hmmm, DNSVIZ gibt einen Timeout für meinen Primary DNS an, brauchen die unbedingt TCP/53? Scheint so …
Ist das ein Problem, als Mailserver nutze ich den Firmenmailserver, muss diese Domain auch komplett DNSSEC geschützt sein oder reicht da der TLSA-Record.
Wobei funktioniert ein TLSA-Record überhaupt ohne eine DNSSEC-abgesicherte Domain?
Viele Grüße! Frank
Am 15.01.2015 um 12:09 schrieb Garry Glendown <garry@nethinks.com mailto:garry@nethinks.com>:
On 15.01.2015 12:01, Frank Fiene wrote:
Es kann ja jeder mal versuchen: https://dane.sys4.de/smtp/fiene.io https://dane.sys4.de/smtp/fiene.io und da fängt schon meine erste Frage an:
Warum ist DNSSEC oben gelb und unten rot? http://dnssec-debugger.verisignlabs.com/fiene.io http://dnssec-debugger.verisignlabs.com/fiene.io zeigt wenigstens, dass DNSsec richtig konfiguriert ist.
Steht doch da ... du verweist als MX auf mail*.veka.com http://veka.com/, für die aber kein DNSSEC angelegt ist ... somit kann das nicht gut gehen ... für fiene.io sieht es aber soweit in der Tat OK aus, auch DNSVIZ kommt gut durch ...
-garry
Viele Grüße! i.A. Frank Fiene
Am Donnerstag, 15. Januar 2015, 12:23:36 schrieb Frank Fiene:
Hmmm, DNSVIZ gibt einen Timeout für meinen Primary DNS an, brauchen die unbedingt TCP/53? Scheint so …
DNSSEC Antworten können ziemlich lang werden. Wenn die Antwort nicht in ein udp Paket (MTU =1500 Byte!) passt, sagt der DNS Server, dass der Client noch einmal per TCP anfragen soll.
Mach mal einen tcpdump auf port 53 tcp und udp!
Ist das ein Problem, als Mailserver nutze ich den Firmenmailserver, muss diese Domain auch komplett DNSSEC geschützt sein oder reicht da der TLSA-Record.
Kein Problem. Du musst nur die Signatur des Zertifikats des Mailservers in Deiner Zone veröffentlichen und signieren.
Wobei funktioniert ein TLSA-Record überhaupt ohne eine DNSSEC-abgesicherte Domain?
Siehe: https://sys4.de/de/blog/2014/05/24/einen-tlsa-record-fuer-dane-mit-bind-9-pu...
und
https://sys4.de/en/blog/2014/05/23/dnssec-fuer-mailserver-richtig-einrichten...
Ohne DNSSEC geht das nicht, weil der Client dann den DNS Informationen nicht vertrauen kann.
Mit freundlichen Grüßen,
Michael Schwartzkopff
Michael Schwartzkopff ms@sys4.de writes:
Am Donnerstag, 15. Januar 2015, 12:23:36 schrieb Frank Fiene:
Hmmm, DNSVIZ gibt einen Timeout für meinen Primary DNS an, brauchen die unbedingt TCP/53? Scheint so …
See https://tools.ietf.org/rfc/rfc5966.txt (DNS Transport over TCP - Implementation Requirements) for details.
DNSSEC Antworten können ziemlich lang werden. Wenn die Antwort nicht in ein udp Paket (MTU =1500 Byte!) passt, sagt der DNS Server, dass der Client noch einmal per TCP anfragen soll.
Original specification was 512 byte. With EDNS0 (RFC6891) UDP messages can be bigger then 512 byte.
Jens
* Frank Fiene ffiene@veka.com:
Hmmm, DNSVIZ gibt einen Timeout für meinen Primary DNS an, brauchen die unbedingt TCP/53? Scheint so …
Signatures tend to become longer than the average DNS record reply. UDP will not do anymore. Opening your DNS server to TCP/53 requests usually fixes the problem.
Ist das ein Problem, als Mailserver nutze ich den Firmenmailserver, muss diese Domain auch komplett DNSSEC geschützt sein oder reicht da der TLSA-Record.
You need DNSSEC in order to deploy a TLSA RR. It won't be trusted unless you have DNSSEC.
Wobei funktioniert ein TLSA-Record überhaupt ohne eine DNSSEC-abgesicherte Domain?
No. It doesn't.
p@rick
P.S. This list is an English speaking list. ;)
Am 15.01.2015 um 12:09 schrieb Garry Glendown <garry@nethinks.com mailto:garry@nethinks.com>:
On 15.01.2015 12:01, Frank Fiene wrote:
Es kann ja jeder mal versuchen: https://dane.sys4.de/smtp/fiene.io https://dane.sys4.de/smtp/fiene.io und da fängt schon meine erste Frage an:
Warum ist DNSSEC oben gelb und unten rot? http://dnssec-debugger.verisignlabs.com/fiene.io http://dnssec-debugger.verisignlabs.com/fiene.io zeigt wenigstens, dass DNSsec richtig konfiguriert ist.
Steht doch da ... du verweist als MX auf mail*.veka.com http://veka.com/, für die aber kein DNSSEC angelegt ist ... somit kann das nicht gut gehen ... für fiene.io sieht es aber soweit in der Tat OK aus, auch DNSVIZ kommt gut durch ...
-garry
Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group
Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene@veka.com mailto:ffiene@veka.com http://www.veka.com http://www.veka.com/
PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW
VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany
Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster
Sorry Patrick,
I should have read the docs, right?
OK, thanks for your help.
Next step: DNSSEC for veka.com http://veka.com/.
Cheers!
Am 15.01.2015 um 12:32 schrieb Patrick Ben Koetter p@sys4.de:
- Frank Fiene ffiene@veka.com:
Hmmm, DNSVIZ gibt einen Timeout für meinen Primary DNS an, brauchen die unbedingt TCP/53? Scheint so …
Signatures tend to become longer than the average DNS record reply. UDP will not do anymore. Opening your DNS server to TCP/53 requests usually fixes the problem.
Ist das ein Problem, als Mailserver nutze ich den Firmenmailserver, muss diese Domain auch komplett DNSSEC geschützt sein oder reicht da der TLSA-Record.
You need DNSSEC in order to deploy a TLSA RR. It won't be trusted unless you have DNSSEC.
Wobei funktioniert ein TLSA-Record überhaupt ohne eine DNSSEC-abgesicherte Domain?
No. It doesn't.
p@rick
P.S. This list is an English speaking list. ;)
Am 15.01.2015 um 12:09 schrieb Garry Glendown <garry@nethinks.com mailto:garry@nethinks.com>:
On 15.01.2015 12:01, Frank Fiene wrote:
Es kann ja jeder mal versuchen: https://dane.sys4.de/smtp/fiene.io https://dane.sys4.de/smtp/fiene.io und da fängt schon meine erste Frage an:
Warum ist DNSSEC oben gelb und unten rot? http://dnssec-debugger.verisignlabs.com/fiene.io http://dnssec-debugger.verisignlabs.com/fiene.io zeigt wenigstens, dass DNSsec richtig konfiguriert ist.
Steht doch da ... du verweist als MX auf mail*.veka.com http://veka.com/, für die aber kein DNSSEC angelegt ist ... somit kann das nicht gut gehen ... für fiene.io sieht es aber soweit in der Tat OK aus, auch DNSVIZ kommt gut durch ...
-garry
Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group
Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene@veka.com mailto:ffiene@veka.com http://www.veka.com http://www.veka.com/
PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW
VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany
Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster
-- [*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
Viele Grüße! i.A. Frank Fiene
participants (6)
-
Frank Fiene -
Garry Glendown -
Jens Link -
Michael Schwartzkopff -
Patrick Ben Koetter -
Peer Heinlein