[Postfixbuch-users] Langsamer DNS(SEC) von postbank.de
Andreas Schulze
andreas.schulze at datev.de
Fr Dez 5 17:18:07 CET 2014
Am 05.12.2014 14:55 schrieb Patrick Ben Koetter:
> * Jan Behrend <postfixbuch-users at listen.jpberlin.de>:
> > Hat jemand eine Erklärung, einen Tipp?
>
> DNSSEC SIG Responses sind oftmals zu lang für UDP. Gilt auch für TLSA und
> DKIM.
> TCP/53 durchlassen?
einfach mal systematisch testen:
# host ns01.datev.de
ns01.datev.de has address 193.27.50.5
ns01.datev.de has IPv6 address 2a00:e50:f155:a:193:27:50:5
# dig -4 @ns01.datev.de. datev.de.
-> IPv4, UDP
# dig -4 @ns01.datev.de. datev.de. +tcp
-> IPv4, TCP
falls IPv6 aktiv ist:
# dig -6 @ns01.datev.de. datev.de.
-> IPv6, UDP
# dig -6 @ns01.datev.de. datev.de. +tcp
-> IPv6, TCP
Mit diesen Tests bleibt man üblicherweise unter 512 Byte Paketgröße.
Ob größere Pakete auch gehen, verrät
https://www.dns-oarc.net/oarc/services/replysizetest
bei mir sieht's so aus:
# dig +short rs.dns-oarc.net txt
rst.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net.
"Tested at 2014-12-05 16:12:43 UTC"
"192.168.1.1 DNS reply size limit is at least 3843"
"192.168.1.1 sent EDNS buffer size 4096"
und bevor nicht in der ganzen Infrastruktur 4k möglich sind, sollte man mit
DNSSEC nicht weitermachen.
Andreas
--
Andreas Schulze
Internetdienste | P252
DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim
Vorsitzender des Aufsichtsrates: Dirk Schmale
Mehr Informationen über die Mailingliste Postfixbuch-users