Postfix will kein DANE...

thorwin

thorwin

Well-Known Member
Moin,

ich verzweifele bei dem Versuch, meinem Postfix (3.1.1) DANE beizubringen. Folgendes Bild stellt sich mir da:

  1. DNSSEC ist korrekt aufgesetzt, das sage zumindest http://dnssec-debugger.verisignlabs.com/thorwinsworld.de
  2. Einen TLSA-Record habe ich gesetzt:
Code: 
alex@gandalf:~ $ dig _25._tcp.mail.thorwinsworld.de +dnssec +m

; <<>> DiG 9.4.2-P2 <<>> _25._tcp.mail.thorwinsworld.de +dnssec +m
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 951
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;_25._tcp.mail.thorwinsworld.de.  IN A

;; AUTHORITY SECTION:
thorwinsworld.de.  2530 IN SOA ns.inwx.de. hostmaster.thorwinsworld.de. (
  2016090719 ; serial
  10800  ; refresh (3 hours)
  3600  ; retry (1 hour)
  604800  ; expire (1 week)
  3600  ; minimum (1 hour)
  )
thorwinsworld.de.  2530 IN RRSIG SOA 14 2 3600 20161007161832 (
  20160907161832 9349 thorwinsworld.de.
  PZDfS9ujwiz4RkywRr/i575zCJLN74zZfloE4flLYICt
  ht1DESMxm8InilH+mxYKEexLHTfZfJeSH7SX6MwdPRjd
  lgJHzhWAMRhnVzQxdfoIw5qcQ9PZgObixEItdqGB )
_25._tcp.mail.thorwinsworld.de. 2530 IN NSEC thorwinsworld.de. RRSIG NSEC TLSA
_25._tcp.mail.thorwinsworld.de. 2530 IN RRSIG NSEC 14 5 3600 20161007161832 (
  20160907161832 9349 thorwinsworld.de.
  24z7NmJ0+37GNs58X3jcTM3qBdTQhwwSbcmsVGN5ulTQ
  g1xsD5IcBVyAmsVBEHSA2EBuv0MgM2YgtWJVxnb181z2
  7cm5e08x2BgQjzNuvibXjm8enTAy+/vdR6PUV/fd )

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Sep  7 19:56:29 2016
;; MSG SIZE  rcvd: 441
und
Code: 
alex@gandalf:~ $ dig _25._tcp.mail.thorwinsworld.de tlsa +dnssec +m

; <<>> DiG 9.4.2-P2 <<>> _25._tcp.mail.thorwinsworld.de tlsa +dnssec +m
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8020
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;_25._tcp.mail.thorwinsworld.de.  IN TLSA

;; ANSWER SECTION:
_25._tcp.mail.thorwinsworld.de. 999 IN TLSA 3 1 1 (
  C219E36CC9DA5888090FD8EE5A4BA216216F4D5F51DA
  C48C1297BCDB5A43960C )
_25._tcp.mail.thorwinsworld.de. 999 IN RRSIG TLSA 14 5 3588 20161007155447 (
  20160907155447 9349 thorwinsworld.de.
  VqlIyxgvS7E/bSB+czVg7GItctpifZ8LA0z/TA4K9Ni2
  C3MlsDa3nUkg7+3uD4KMGw1utIgY1YL2r6dUsMVp67dW
  ainM44dwqiG7XGF7vYG39Hv/kMdsL+7hjKYKtg3+ )

;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Sep  7 19:57:10 2016
;; MSG SIZE  rcvd: 250

Wenn ich nun mittels
Code: 
posttls-finger -a ipv4 -t30 -T180 -c -L debug,verbose,summary -v thorwinsworld.de
das Ganze zu validieren versuche, bekomme ich immer die Fehlermeldung
Code: 
posttls-finger: no TLSA records found, resorting to "secure"
Er findet also den TLSA-Record nicht. Ich verstehe nur nicht, warum...:confused:

Sieht jemand den (Denk-)Fehler?
 
Nur der Vollständigkeit halber und falls da noch jemand drüber stolpert: Der Fehler saß vor dem Gerät, mein unbound hat keine DNSSEC-Validation gemacht :ugly:

Postfix-und DNS-seitig war alles prima, lediglich der Caching-Resolver hat's nicht gemerkt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben