[Postfixbuch-users] Langsamer DNS(SEC) von postbank.de
Thomas Preißler
thomas at preissler.me
Fr Dez 5 14:24:58 CET 2014
Hallo Jan,
ich kann das Problem nicht reproduzieren:
# time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m
real 0m0.084s
Ein Schuss ins Blaue: Werden vielleicht gewisse DNS-Pakete von deiner Firewall geblockt? Die DNS-Response für DNSSEC ist ja deutlich größer als ohne DNSSEC. Lange Zeit waren 512 Byte als Grenze für DNS-Pakete vorgesehen, ist aber mit DNSSEC einfach zu wenig. Um dieses Problem zu umgehen wurde EDNS0 eingeführt: Der Client sendet einen OPT-Record um dem DNS-Server zu signalisieren, dass er größere Pakete akzeptiert. Vielleicht macht deine Firewall genau hier Probleme.
Lange Rede, kurzer Sinn: dig sollte diese Infos angeben:
# dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m
…
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
…
Viele Grüße
Thomas
Sent with Unibox
> On Dec 5, 2014, at 1:27 PM, Jan Behrend <jbehrend at mpifr-bonn.mpg.de> wrote:
>
>
> Hallo Liste,
>
> auch wir versuchen uns in DNSSEC und DANE ...
>
> In diesem Zusammenhang bin ich auf folgendes Problem gestoßen:
> (wegen line breaks dies mal in HTML)
>
> -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
> 228E687A255 7983 Fri Dec 5 09:05:11 xxx at mpifr-bonn.mpg.de
> (TLSA lookup error for mailrelay1.bonn.postbank.de:25)
> xxx at dslbank.de
>
> Also einmal von Hand gucken (auf das time komme ich gleich noch):
> # time dig mailrelay1.bonn.postbank.de +dn +m
> ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
> ;; ANSWER SECTION:
> mailrelay1.bonn.postbank.de. 3059 IN A 62.153.105.26
> mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 (
> 20141208140444 20141201140445 56144 postbank.de.
> [...]
> mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 (
> 20141209024448 20141202024448 36224 postbank.de.
> [...]
> real 0m0.011s
>
> Alles bestens! Jetzt also den TLSA-Record überprüfen:
> # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. +dn +m
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
> [...]
> real 0m10.010s
>
> Hat also keinen, ist ja auch nicht weiter schlimm, jedoch dauret das ganz schön lange ... (zu lange für Postfix)
>
> Also mal direkt bei der Postbank anfragen, um lokale Probleme auszuschließen:
> # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m
> ;; connection timed out; no servers could be reached
> real 0m15.010s
>
> Lasse ich das DNSSEC weg, dann geht alles schnell:
> # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns2.postbank.de +m
> ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
> real 0m0.030s
>
>
> Hat jemand eine Erklärung, einen Tipp?
>
> LG Jan
>
> --
> MAX-PLANCK-INSTITUT fuer Radioastronomie
> Jan Behrend - Rechenzentrum
> ----------------------------------------
> Auf dem Huegel 69, D-53121 Bonn
> Tel: +49 (228) 525 359, Fax: +49 (228) 525 229
> jbehrend at mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de
>
>
>
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141205/d38b58f1/attachment.html>
Mehr Informationen über die Mailingliste Postfixbuch-users