[Postfixbuch-users] Langsamer DNS(SEC) von postbank.de

Thomas Preißler thomas at preissler.me
Fr Dez 5 14:24:58 CET 2014


  Hallo Jan,


ich kann das Problem nicht reproduzieren:


# time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m


real	0m0.084s




Ein Schuss ins Blaue: Werden vielleicht gewisse DNS-Pakete von deiner Firewall geblockt? Die DNS-Response für DNSSEC ist ja deutlich größer als ohne DNSSEC. Lange Zeit waren 512 Byte als Grenze für DNS-Pakete vorgesehen, ist aber mit DNSSEC einfach zu wenig. Um dieses Problem zu umgehen wurde EDNS0 eingeführt: Der Client sendet einen OPT-Record um dem DNS-Server zu signalisieren, dass er größere Pakete akzeptiert. Vielleicht macht deine Firewall genau hier Probleme.


Lange Rede, kurzer Sinn: dig sollte diese Infos angeben:


# dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m


…
;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags: do; udp: 4096


…


Viele Grüße
Thomas




Sent with Unibox



> On Dec 5, 2014, at 1:27 PM, Jan Behrend <jbehrend at mpifr-bonn.mpg.de> wrote:
> 
> 
> Hallo Liste,
> 
> auch wir versuchen uns in DNSSEC und DANE ...
> 
> In diesem Zusammenhang bin ich auf folgendes Problem gestoßen:
> (wegen line breaks dies mal in HTML)
> 
> -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
> 228E687A255     7983 Fri Dec  5 09:05:11  xxx at mpifr-bonn.mpg.de
>                         (TLSA lookup error for mailrelay1.bonn.postbank.de:25)
>                                          xxx at dslbank.de
> 
> Also einmal von Hand gucken (auf das time komme ich gleich noch):
> # time dig mailrelay1.bonn.postbank.de +dn +m
> ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
> ;; ANSWER SECTION:
> mailrelay1.bonn.postbank.de. 3059 IN A 62.153.105.26
> mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 (
> 20141208140444 20141201140445 56144 postbank.de.
> [...]
> mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 (
> 20141209024448 20141202024448 36224 postbank.de.
> [...]
> real 0m0.011s
> 
> Alles bestens!  Jetzt also den TLSA-Record überprüfen:
> # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. +dn +m
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
> [...]
> real 0m10.010s
> 
> Hat also keinen, ist ja auch nicht weiter schlimm, jedoch dauret das ganz schön lange ... (zu lange für Postfix)
> 
> Also mal direkt bei der Postbank anfragen, um lokale Probleme auszuschließen:
> # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m
> ;; connection timed out; no servers could be reached
> real 0m15.010s
> 
> Lasse ich das DNSSEC weg, dann geht alles schnell:
> # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns2.postbank.de +m
> ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
> real 0m0.030s
> 
> 
> Hat jemand eine Erklärung, einen Tipp?
> 
> LG Jan
> 
> -- 
> MAX-PLANCK-INSTITUT fuer Radioastronomie
> Jan Behrend - Rechenzentrum
> ----------------------------------------
> Auf dem Huegel 69, D-53121 Bonn                                  
> Tel: +49 (228) 525 359, Fax: +49 (228) 525 229
> jbehrend at mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de
> 
> 
> 
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 
> 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141205/d38b58f1/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users