thorwin
Well-Known Member
Moin,
ich verzweifele bei dem Versuch, meinem Postfix (3.1.1) DANE beizubringen. Folgendes Bild stellt sich mir da:
und
Wenn ich nun mittels
das Ganze zu validieren versuche, bekomme ich immer die Fehlermeldung
Er findet also den TLSA-Record nicht. Ich verstehe nur nicht, warum...
Sieht jemand den (Denk-)Fehler?
ich verzweifele bei dem Versuch, meinem Postfix (3.1.1) DANE beizubringen. Folgendes Bild stellt sich mir da:
- DNSSEC ist korrekt aufgesetzt, das sage zumindest http://dnssec-debugger.verisignlabs.com/thorwinsworld.de
- Einen TLSA-Record habe ich gesetzt:
Code:
alex@gandalf:~ $ dig _25._tcp.mail.thorwinsworld.de +dnssec +m
; <<>> DiG 9.4.2-P2 <<>> _25._tcp.mail.thorwinsworld.de +dnssec +m
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 951
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;_25._tcp.mail.thorwinsworld.de. IN A
;; AUTHORITY SECTION:
thorwinsworld.de. 2530 IN SOA ns.inwx.de. hostmaster.thorwinsworld.de. (
2016090719 ; serial
10800 ; refresh (3 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
3600 ; minimum (1 hour)
)
thorwinsworld.de. 2530 IN RRSIG SOA 14 2 3600 20161007161832 (
20160907161832 9349 thorwinsworld.de.
PZDfS9ujwiz4RkywRr/i575zCJLN74zZfloE4flLYICt
ht1DESMxm8InilH+mxYKEexLHTfZfJeSH7SX6MwdPRjd
lgJHzhWAMRhnVzQxdfoIw5qcQ9PZgObixEItdqGB )
_25._tcp.mail.thorwinsworld.de. 2530 IN NSEC thorwinsworld.de. RRSIG NSEC TLSA
_25._tcp.mail.thorwinsworld.de. 2530 IN RRSIG NSEC 14 5 3600 20161007161832 (
20160907161832 9349 thorwinsworld.de.
24z7NmJ0+37GNs58X3jcTM3qBdTQhwwSbcmsVGN5ulTQ
g1xsD5IcBVyAmsVBEHSA2EBuv0MgM2YgtWJVxnb181z2
7cm5e08x2BgQjzNuvibXjm8enTAy+/vdR6PUV/fd )
;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Sep 7 19:56:29 2016
;; MSG SIZE rcvd: 441
Code:
alex@gandalf:~ $ dig _25._tcp.mail.thorwinsworld.de tlsa +dnssec +m
; <<>> DiG 9.4.2-P2 <<>> _25._tcp.mail.thorwinsworld.de tlsa +dnssec +m
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8020
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;_25._tcp.mail.thorwinsworld.de. IN TLSA
;; ANSWER SECTION:
_25._tcp.mail.thorwinsworld.de. 999 IN TLSA 3 1 1 (
C219E36CC9DA5888090FD8EE5A4BA216216F4D5F51DA
C48C1297BCDB5A43960C )
_25._tcp.mail.thorwinsworld.de. 999 IN RRSIG TLSA 14 5 3588 20161007155447 (
20160907155447 9349 thorwinsworld.de.
VqlIyxgvS7E/bSB+czVg7GItctpifZ8LA0z/TA4K9Ni2
C3MlsDa3nUkg7+3uD4KMGw1utIgY1YL2r6dUsMVp67dW
ainM44dwqiG7XGF7vYG39Hv/kMdsL+7hjKYKtg3+ )
;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Sep 7 19:57:10 2016
;; MSG SIZE rcvd: 250
Wenn ich nun mittels
Code:
posttls-finger -a ipv4 -t30 -T180 -c -L debug,verbose,summary -v thorwinsworld.de
Code:
posttls-finger: no TLSA records found, resorting to "secure"
Sieht jemand den (Denk-)Fehler?