* Django [BOfH] via postfix-users <[email protected]>: > HI p@rick! > > Am 24.05.2014 15:01, schrieb Patrick Ben Koetter via postfix-users: > > > Ich habe einen kurzen Blog darüber geschrieben wie man das DNS > > seines (Mail)server fit für DNSSEC-Abfragen macht: > > Das macht der bind hier bei CentOS 6 out of the box. > > ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> sys4.de +dnssec > ;; global options: +cmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47703 > ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 6
Wenn man einen bind lokal am laufen hat, ist das gut. Ein reiner Resolver wie unbound ist ~ Faktor 10 schneller, falls jemand das braucht und er hat einen angenehm geringen footprint. > > Das ist auch dann schon nützlich, wenn man DANE noch nicht > > einsetzt! > > Wenn Du das sagst, dann wird es schon stimmen. ;) Ich habe auch schon gesagt, es wird garantiert nicht regnen... Es ist nützlich auch ohne DANE, weil eine Zone, die DNSSEC-signiert ist und nicht validiert, einen SERVFAIL hervorruft und die Records in der Zone dann nicht aufgelöst werden. Sollte jemand also am DNS der Zone rumgedreht haben, wird Dein Mailserver nichts hinsenden können, weil er keine MX- oder A-Records erhält. Im Zweifel über die Intregrität des Ziels eine feine Sache, wie ich meine. p@rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein _______________________________________________ postfix-users mailing list [email protected] http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
