[Postfixbuch-users] Langsamer DNS(SEC) von postbank.de

Patrick Ben Koetter p at sys4.de
Fr Dez 5 14:55:41 CET 2014 

* Jan Behrend <postfixbuch-users at listen.jpberlin.de>:
> Hallo Liste,
> 
> auch wir versuchen uns in DNSSEC und DANE ...
> 
> In diesem Zusammenhang bin ich auf folgendes Problem gestoßen:
> (wegen line breaks dies mal in HTML)
> 
> -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
> 228E687A255     7983 Fri Dec  5 09:05:11  xxx at mpifr-bonn.mpg.de
>                         (TLSA lookup error for
> mailrelay1.bonn.postbank.de:25)
>                                          xxx at dslbank.de
> 
> Also einmal von Hand gucken (auf das time komme ich gleich noch):
> # time dig mailrelay1.bonn.postbank.de +dn +m
> ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
> ;; ANSWER SECTION:
> mailrelay1.bonn.postbank.de. 3059 IN A 62.153.105.26
> mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 (
> 				20141208140444 20141201140445 56144 postbank.de.
> [...]
> mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 (
> 				20141209024448 20141202024448 36224 postbank.de.
> [...]
> real	0m0.011s
> 
> Alles bestens!  Jetzt also den TLSA-Record überprüfen:
> # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. +dn +m
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
> [...]
> real	0m10.010s
> 
> Hat also keinen, ist ja auch nicht weiter schlimm, jedoch dauret das
> ganz schön lange ... (zu lange für Postfix)
> 
> Also mal direkt bei der Postbank anfragen, um lokale Probleme
> auszuschließen:
> # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de.
> +dn +m
> ;; connection timed out; no servers could be reached
> real	0m15.010s
> 
> Lasse ich das DNSSEC weg, dann geht alles schnell:
> # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns2.postbank.de
> +m
> ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
> real	0m0.030s
> 
> 
> Hat jemand eine Erklärung, einen Tipp?

DNSSEC SIG Responses sind oftmals zu lang für UDP. Gilt auch für TLSA und
DKIM.
TCP/53 durchlassen?

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste Postfixbuch-users