<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html>
<head></head>
<body>
  
<div>Hallo Jan,</div>
<div><br></div>
<div>ich kann das Problem nicht reproduzieren:</div>
<div><br></div>
<div><p style="margin: 0px; font-size: 11px; line-height: normal; font-family: Menlo;"># time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m</p></div>
<div><p style="margin: 0px; font-size: 11px; line-height: normal; font-family: Menlo;">real<span class="Apple-tab-span" style="white-space:pre">        </span>0m0.084s</p></div>
<div><br></div>
<div>Ein Schuss ins Blaue: Werden vielleicht gewisse DNS-Pakete von deiner Firewall geblockt? Die DNS-Response für DNSSEC ist ja deutlich größer als ohne DNSSEC. Lange Zeit waren 512 Byte als Grenze für DNS-Pakete vorgesehen, ist aber mit DNSSEC einfach zu wenig. Um dieses Problem zu umgehen wurde EDNS0 eingeführt: Der Client sendet einen OPT-Record um dem DNS-Server zu signalisieren, dass er größere Pakete akzeptiert. Vielleicht macht deine Firewall genau hier Probleme.</div>
<div><br></div>
<div>Lange Rede, kurzer Sinn: dig sollte diese Infos angeben:</div>
<div><br></div>
<div><p style="margin: 0px; font-size: 11px; line-height: normal; font-family: Menlo;"># dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m</p></div>
<div>…</div>
<div>
<p style="margin: 0px; font-size: 11px; line-height: normal; font-family: Menlo;">;; OPT PSEUDOSECTION:</p>
<p style="margin: 0px; font-size: 11px; line-height: normal; font-family: Menlo;">; EDNS: version: 0, flags: do; udp: 4096</p>
</div>
<div>…</div>
<div><br></div>
<div>Viele Grüße</div>
<div>Thomas</div>
<div><br></div>
<div><br></div>
<div class="unibox-signature">Sent with <a href="http://www.uniboxapp.com/t/sig">Unibox</a>
</div>
<div><br></div>
<blockquote type="cite">
<div>On Dec 5, 2014, at 1:27 PM, Jan Behrend <jbehrend@mpifr-bonn.mpg.de> wrote:</div>
<div><br></div>
<span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">Hallo Liste,</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">auch wir versuchen uns in DNSSEC und DANE ...</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">In diesem Zusammenhang bin ich auf folgendes Problem gestoßen:</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">(wegen line breaks dies mal in HTML)</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">228E687A255     7983 Fri Dec  5 09:05:11  xxx@mpifr-bonn.mpg.de</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">                        (TLSA lookup error for mailrelay1.bonn.postbank.de:25)</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">                                         xxx@dslbank.de</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">Also einmal von Hand gucken (auf das time komme ich gleich noch):</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;"># time dig mailrelay1.bonn.postbank.de +dn +m</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">;; ANSWER SECTION:</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">mailrelay1.bonn.postbank.de. 3059 IN A 62.153.105.26</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 (</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">20141208140444 20141201140445 56144 postbank.de.</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">[...]</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 (</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">20141209024448 20141202024448 36224 postbank.de.</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">[...]</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">real 0m0.011s</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">Alles bestens!  Jetzt also den TLSA-Record überprüfen:</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;"># time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. +dn +m</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">[...]</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">real 0m10.010s</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">Hat also keinen, ist ja auch nicht weiter schlimm, jedoch dauret das ganz schön lange ... (zu lange für Postfix)</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">Also mal direkt bei der Postbank anfragen, um lokale Probleme auszuschließen:</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;"># time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">;; connection timed out; no servers could be reached</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">real 0m15.010s</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">Lasse ich das DNSSEC weg, dann geht alles schnell:</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;"># time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns2.postbank.de +m</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1</span><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">real 0m0.030s</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">Hat jemand eine Erklärung, einen Tipp?</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><span style="orphans: auto; text-align: start; widows: auto; float: none; display: inline !important;">LG Jan</span><br style="orphans: auto; text-align: start; widows: auto;"><br style="orphans: auto; text-align: start; widows: auto;"><table cellspacing="0" cellpadding="0" width="100%" style="font-family: Times; letter-spacing: normal; orphans: auto; text-indent: 0px; text-transform: none; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><tbody><tr><td><pre>-- 
MAX-PLANCK-INSTITUT fuer Radioastronomie
Jan Behrend - Rechenzentrum
----------------------------------------
Auf dem Huegel 69, D-53121 Bonn                                  
Tel: +49 (228) 525 359, Fax: +49 (228) 525 229
jbehrend@mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de


</pre></td></tr></tbody></table>
<div style="orphans: auto; text-align: start; widows: auto;">--<span class="Apple-converted-space"> </span><br>_______________________________________________<br>Postfixbuch-users -- http://www.postfixbuch.de<br>Heinlein Professional Linux Support GmbH</div>
<div style="orphans: auto; text-align: start; widows: auto;"><br></div>
<div style="orphans: auto; text-align: start; widows: auto;">Postfixbuch-users@listen.jpberlin.de<br>https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users</div>
<br class="Apple-interchange-newline">
</blockquote>

</body>
</html>