[Postfixbuch-users] Langsamer DNS(SEC) von postbank.de
Jan Behrend
jbehrend at mpifr-bonn.mpg.de
Mi Jan 28 11:13:26 CET 2015
On Fri, 2014-12-05 at 17:18 +0100, Andreas Schulze wrote:
> Am 05.12.2014 14:55 schrieb Patrick Ben Koetter:
> > DNSSEC SIG Responses sind oftmals zu lang für UDP. Gilt auch für TLSA und
> > DKIM.
> > TCP/53 durchlassen?
Wird auf jeden Fall durchgelassen! Hier der Firewallauszug:
Jan 28 11:11:40 134.104.xx.xx %6-106100: access-list acl-mlan permitted tcp mlan/134.104.27.161(45424) -> outside/62.153.105.1(53) hit-cnt 1 first hit [0xa2392c8f, 0x0]
Jan 28 11:11:40 134.104.xx.xx %7-609001: Built local-host outside:62.153.105.1
Jan 28 11:11:40 134.104.xx.xx %6-302013: Built outbound TCP connection 1035274629 for outside:62.153.105.1/53 (62.153.105.1/53) to mlan:134.104.27.161/45424 (134.104.27.161/45424)
Jan 28 11:11:40 134.104.xx.xx %6-302014: Teardown TCP connection 1035274629 for outside:62.153.105.1/53 to mlan:134.104.27.161/45424 duration 0:00:00 bytes 2141 TCP FINs
Jan 28 11:11:40 134.104.xx.xx %7-609002: Teardown local-host outside:62.153.105.1 duration 0:00:00
> einfach mal systematisch testen:
Also:
time dig -4 TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m
;; connection timed out; no servers could be reached
real 0m15.011s
time dig -4 TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m +tcp
;; flags: qr aa rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 12, ADDITIONAL: 1
real 0m0.047s
Es sieht so aus, als ob "ns1.postbank.de" nicht "freiwillig" auf TCP
umschaltet. Wie funktioniert die Mimik normalerweise, wenn UDP-Anfragen
nicht erfolgreich sind und man auf TCP wechslen müßte. Unser DNS macht
zu "ns1.postbank.de" nur UDP Anfragen.
Jan 28 11:04:11 134.104.xx.xx %6-106100: access-list acl-mlan permitted udp mlan/134.104.27.161(49452) -> outside/62.153.105.1(53) hit-cnt 1 first hit [0xa2392c8f, 0x0]
Jan 28 11:04:11 134.104.xx.xx %7-609001: Built local-host outside:62.153.105.1
Jan 28 11:04:11 134.104.xx.xx %6-302015: Built outbound UDP connection 1035245619 for outside:62.153.105.1/53 (62.153.105.1/53) to mlan:134.104.27.161/49452 (134.104.27.161/49452)
Jan 28 11:04:11 134.104.xx.xx %6-302016: Teardown UDP connection 1035245619 for outside:62.153.105.1/53 to mlan:134.104.27.161/49452 duration 0:00:00 bytes 65
Jan 28 11:04:11 134.104.xx.xx %7-609002: Teardown local-host outside:62.153.105.1 duration 0:00:00
> und bevor nicht in der ganzen Infrastruktur 4k möglich sind, sollte man mit
> DNSSEC nicht weitermachen.
jbehrend at jb1:~$ dig +short rs.dns-oarc.net txt
rst.x4090.rs.dns-oarc.net.
rst.x4058.x4090.rs.dns-oarc.net.
rst.x4064.x4058.x4090.rs.dns-oarc.net.
"134.104.18.202 sent EDNS buffer size 4096"
"134.104.18.202 DNS reply size limit is at least 4090"
"Tested at 2015-01-28 10:09:20 UTC"
Sieht doch gut aus ...
LG Jan
--
MAX-PLANCK-INSTITUT fuer Radioastronomie
Jan Behrend - Rechenzentrum
----------------------------------------
Auf dem Huegel 69, D-53121 Bonn
Tel: +49 (228) 525 359, Fax: +49 (228) 525 229
jbehrend at mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de
--
MAX-PLANCK-INSTITUT fuer Radioastronomie
Jan Behrend - Rechenzentrum
----------------------------------------
Auf dem Huegel 69, D-53121 Bonn
Tel: +49 (228) 525 359, Fax: +49 (228) 525 229
jbehrend at mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/x-pkcs7-signature
Dateigröße : 6273 bytes
Beschreibung: nicht verfügbar
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150128/c262238b/attachment.bin>
Mehr Informationen über die Mailingliste Postfixbuch-users