<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/4.6.6">
</HEAD>
<BODY>
Hallo Liste,<BR>
<BR>
auch wir versuchen uns in DNSSEC und DANE ...<BR>
<BR>
In diesem Zusammenhang bin ich auf folgendes Problem gestoßen:<BR>
(wegen line breaks dies mal in HTML)<BR>
<BR>
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------<BR>
228E687A255     7983 Fri Dec  5 09:05:11  xxx@mpifr-bonn.mpg.de<BR>
                        (TLSA lookup error for mailrelay1.bonn.postbank.de:25)<BR>
                                         xxx@dslbank.de<BR>
<BR>
Also einmal von Hand gucken (auf das time komme ich gleich noch):<BR>
# time dig mailrelay1.bonn.postbank.de +dn +m<BR>
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1<BR>
;; ANSWER SECTION:<BR>
mailrelay1.bonn.postbank.de. 3059 IN A 62.153.105.26<BR>
mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 (<BR>
                                20141208140444 20141201140445 56144 postbank.de.<BR>
[...]<BR>
mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 (<BR>
                                20141209024448 20141202024448 36224 postbank.de.<BR>
[...]<BR>
real    0m0.011s<BR>
<BR>
Alles bestens!  Jetzt also den TLSA-Record überprüfen:<BR>
# time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. +dn +m<BR>
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1<BR>
[...]<BR>
real    0m10.010s<BR>
<BR>
Hat also keinen, ist ja auch nicht weiter schlimm, jedoch dauret das ganz schön lange ... (zu lange für Postfix)<BR>
<BR>
Also mal direkt bei der Postbank anfragen, um lokale Probleme auszuschließen:<BR>
# time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m<BR>
;; connection timed out; no servers could be reached<BR>
real    0m15.010s<BR>
<BR>
Lasse ich das DNSSEC weg, dann geht alles schnell:<BR>
# time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns2.postbank.de +m<BR>
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1<BR>
real    0m0.030s<BR>
<BR>
<BR>
Hat jemand eine Erklärung, einen Tipp?<BR>
<BR>
LG Jan<BR>
<BR>
<TABLE CELLSPACING="0" CELLPADDING="0" WIDTH="100%">
<TR>
<TD>
<PRE>
-- 
MAX-PLANCK-INSTITUT fuer Radioastronomie
Jan Behrend - Rechenzentrum
----------------------------------------
Auf dem Huegel 69, D-53121 Bonn                                  
Tel: +49 (228) 525 359, Fax: +49 (228) 525 229
jbehrend@mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de


</PRE>
</TD>
</TR>
</TABLE>
</BODY>
</HTML>