ubuntuusers.de

Hallo liebe Community,

ich möchte aktuell DNSSEC + DANE für meinen Mailserver einrichten. Ich habe meiner Ansicht nach auch die richtigen DNS Einträge erstellt, aber es funktioniert nicht. Ich habe dafür https://de.ssl-tools.net/tlsa-generator genutzt. Ich bin Kunde bei INWX und meine DNS Einträge sehen wie folgt aus: https://occucloud.de/apps/files_sharing/publicpreview/D4fmkiJjEiLmLPc?x=2560&y=934&a=true&file=DANE%2520INWX.png&scalingup=0

Nun scheint aber kein TLSA Eintrag gefunden zu werden?!

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

dig _25._tcp.mail.occumail.net tlsa +dnssec

; <<>> DiG 9.16.1-Ubuntu <<>> _25._tcp.mail.occumail.net tlsa +dnssec
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 40722
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 65494
; OPT=5: 05 07 08 0a 0d 0e 0f (".......")
; OPT=6: 01 02 04 ("...")
; OPT=7: 01 (".")
;; QUESTION SECTION:
;_25._tcp.mail.occumail.net.	IN	TLSA

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fr Mai 01 14:21:07 CEST 2020
;; MSG SIZE  rcvd: 78

Und entsprechend liefert auch DANE Tool zurück, es würde nicht funktionieren:

1
2
3
4
5
6

danetool --check mail.occumail.net --port 25

Resolving 'mail.occumail.net:smtp'...
Obtaining certificate from '2a0a:51c0::34b:25'...
Querying DNS for mail.occumail.net (tcp:25)...
dane_query_tlsa: No DANE data were found.

Was zum Teufel mache ich falsch?

Vielen Dank

Ohne zu wissen, was du wie bei INWX eingetragen hast, sehen wir auch nur so viel wie du gezeigt hast.

sebix schrieb:

Ohne zu wissen, was du wie bei INWX eingetragen hast, sehen wir auch nur so viel wie du gezeigt hast.

Ich habe doch oben einen Screenshot verlinkt: https://occucloud.de/apps/files_sharing/publicpreview/D4fmkiJjEiLmLPc?x=2560&y=934&a=true&file=DANE%2520INWX.png&scalingup=0

Musst du sonst noch etwas wissen?

Viele Grüße, Markus

Kann denn der Nameserver den du verwendest auch DNSSEC? Die ganze Sache mit DNSSEC funktioniert nur wenn der Nameserver vom Client auch was damit anfangen kann, in jedem anderen Fall ist die Information aus DNSSEC wertlos.

mfg Stefan

encbladexp schrieb:

Kann denn der Nameserver den du verwendest auch DNSSEC? Die ganze Sache mit DNSSEC funktioniert nur wenn der Nameserver vom Client auch was damit anfangen kann, in jedem anderen Fall ist die Information aus DNSSEC wertlos.

mfg Stefan

Ja, es wird der Nameserver von INWX genutzt, der DNSSEC kann. Es ist auch eingerichtet. Siehe hier: https://occucloud.de/s/8G6KkQfAbGnf9WT

Ich verwende dann ssl-tools.net, um zu überprüfen, ob es geklappt hat: https://de.ssl-tools.net/mailservers/occumail.net

Und da heißt es: Geht nicht!

Was könnte es noch sein?

Dein lokaler Nameserver? 😉

mfg Stefan

encbladexp schrieb:

Dein lokaler Nameserver? 😉

mfg Stefan

Ich kann ja auch den Nameserver von INWX anfragen. Es kommt trotzdem nichts zurück! Ich verstehe es nicht....

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

markus@markus-ThinkPad-T570:~$ dig _25._tcp.mail.occumail.net tlsa +dnssec @ns.inwx.de

; <<>> DiG 9.16.1-Ubuntu <<>> _25._tcp.mail.occumail.net tlsa +dnssec @ns.inwx.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 5293
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 8, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1680
;; QUESTION SECTION:
;_25._tcp.mail.occumail.net.    IN      TLSA

;; AUTHORITY SECTION:
occumail.net.           3600    IN      SOA     ns.inwx.de. hostmaster.inwx.de. 2020050201 10800 3600 604800 3600
occumail.net.           3600    IN      RRSIG   SOA 8 2 86400 20200514000000 20200423000000 58729 occumail.net. PHvQzFPtveNYQ40Pwd+EamDz/7kohq+5PXpYMQGKyqpof2c/uZT3zF3a 8+arKtB5GeHDj0MfwgFfzNuoo9ZbSywCK1Fz56qW/zb5cSvWOn7W31D4 ascQ+6AhsKiNTxmU2vszK6z6AZPWxIE7eXvXscMZ+wdjHayo3LnZsiZJ P9o=
fjt4ch8495rm03kidfcjc6ps226690vm.occumail.net. 3600 IN NSEC3 1 0 1 AB KUH6BRDKU2M5EMIFKPGTSERRNLP73MPQ A AAAA RRSIG
fjt4ch8495rm03kidfcjc6ps226690vm.occumail.net. 3600 IN RRSIG NSEC3 8 3 3600 20200514000000 20200423000000 58729 occumail.net. kJg0FZ1HYDsBG5evLmWhSKqve6Z2xDYz2b0SaEpIJBjoPMYVSzMFAOj1 dmJoG3FtdXWhm6XtXpd1Uwx16rtvn+3cRbzj/RvYJGv1mSBNSM20ru2i Ir+4eG2wl7WFKrtBi/wlUL+3Wu7DUPg8gkQ15Z9C/5gB48Cts4GwVv08 zAc=
0563q4jf15eojvpfhimsouhlcspb3hoo.occumail.net. 3600 IN NSEC3 1 0 1 AB 194QTDSSPOL94S5LHC52ASBBPI5LTDLE RRSIG TLSA
0563q4jf15eojvpfhimsouhlcspb3hoo.occumail.net. 3600 IN RRSIG NSEC3 8 3 3600 20200514000000 20200423000000 58729 occumail.net. E4o2gm04ghELMtzKEZjaoCYA0SVpZgXDc8ZNGoMacf00O7z3Oy/As91d J9u60aP+nHHAfaiF0ZLCDVOVo8HRwwRI68lZnODPSZ+pC5/cqxEwr5pi JooBQehh8JD6JDE6s2GRbt/D9jG627uhfsm80wx8aGgpu9IzPyuEEQLr K7Q=
864liblqisvtmjtk31e38cicgbndldap.occumail.net. 3600 IN NSEC3 1 0 1 AB CKEEID6CJCOAICM7TQ979CTP47B4O3K6 A AAAA RRSIG
864liblqisvtmjtk31e38cicgbndldap.occumail.net. 3600 IN RRSIG NSEC3 8 3 3600 20200514000000 20200423000000 58729 occumail.net. dk2u3DaJvLrTVrnQORu87TT6Nb0OkwO2Uq0DGg1fqJlfWkX4GZbOB38c 8zACyA/vUvrOk0yk2ysk/Y3xJIieEybxRbWEqbxbmvlWFlpu6GSq31li nvoFJVTpmiAWfIm0IzjisjgHZMCNV/yUK7PxAwC3Tn1QpqGjGF83Z5Sw S9Q=

;; Query time: 43 msec
;; SERVER: 2001:67c:1bc::104#53(2001:67c:1bc::104)
;; WHEN: Mo Mai 04 11:35:30 CEST 2020
;; MSG SIZE  rcvd: 1041

Nur mal so als Vergleich:

[stefan:~] $ dig _25._tcp.mail.occumail.net tlsa +dnssec @ns.inwx.de

; <<>> DiG 9.16.2 <<>> _25._tcp.mail.occumail.net tlsa +dnssec @ns.inwx.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46493
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1680
;; QUESTION SECTION:
;_25._tcp.mail.occumail.net.	IN	TLSA

;; ANSWER SECTION:
_25._tcp.mail.occumail.net. 3600 IN	TLSA	3 1 1 CCD6F426C891600224C7A8B6C645ED42F437FF00015471404173E281 0DF3A56C
_25._tcp.mail.occumail.net. 3600 IN	RRSIG	TLSA 8 5 3600 20200521000000 20200430000000 58729 occumail.net. yjJT+fWfHBE/+9/AB2vXdJcDEeu6XIzMKNQ6bJVa4sRA8KuDWTDNmWby un339mvXfn5jyuVDP3qOQcg+FKk+GZK9gFduYwDPyeRMXv7JnlZ8uxr8 EhcS/AffIpHPQploNNOJT+g1Its3S7Uaneq2kq/+bqUYQf7ro57Cq4Gk 4Yk=

;; Query time: 26 msec
;; SERVER: 192.174.68.104#53(192.174.68.104)
;; WHEN: Do Mai 07 19:53:35 CEST 2020
;; MSG SIZE  rcvd: 274

Daher nochmal: Nimmt bitte einen anderen, DNSSEC tauglichen, lokalen Resolver. Die billigen Resolver vom Plastikrouter bekommen das nicht hin. Nochmal als Vergleich, auch Google bekommt es hin:

[stefan:~] $ dig @8.8.8.8 _25._tcp.mail.occumail.net tlsa +dnssec @ns.inwx.de

; <<>> DiG 9.16.2 <<>> @8.8.8.8 _25._tcp.mail.occumail.net tlsa +dnssec @ns.inwx.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34093
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;_25._tcp.mail.occumail.net.	IN	TLSA

;; ANSWER SECTION:
_25._tcp.mail.occumail.net. 3599 IN	RRSIG	TLSA 8 5 3600 20200521000000 20200430000000 58729 occumail.net. yjJT+fWfHBE/+9/AB2vXdJcDEeu6XIzMKNQ6bJVa4sRA8KuDWTDNmWby un339mvXfn5jyuVDP3qOQcg+FKk+GZK9gFduYwDPyeRMXv7JnlZ8uxr8 EhcS/AffIpHPQploNNOJT+g1Its3S7Uaneq2kq/+bqUYQf7ro57Cq4Gk 4Yk=
_25._tcp.mail.occumail.net. 3599 IN	TLSA	3 1 1 CCD6F426C891600224C7A8B6C645ED42F437FF00015471404173E281 0DF3A56C

;; Query time: 30 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Do Mai 07 19:55:25 CEST 2020
;; MSG SIZE  rcvd: 274

Nachvollziehbar?

mfg Stefan

Hallo,

ich habe inzwischen eine einfache wie überraschende Lösung für das Problem, nach dem ich den INWX Support kontaktiert habe.

Der TLSA Record Generator und auch sonst jedes Tutorial sagt mir, ich solle den Eintrag "_25._tcp.mail.occumail.net. 3600 IN TLSA 3 1 1 CCD6F426C891600224C7A8B6C645ED42F437FF00015471404173E2810DF3A56C" hinzufügen. Also nehme ich für den Teil der Subdomain logischerweise "_25._tcp.mail.occumail.net.". In diversen Tutorials wird noch darauf hingewiesen, man möge den Punkt am Ende nicht vergessen. Tatsächlich ist INWX wohl der Auffassung, dem Eintrag selbst noch mal die Domain hinzuzufügen. So hatte ich also einen TLSA Record mit dem Eintrag _25._tcp.mail.occumail.net.occumail.net.

Für INWX gilt also: Domain am Ende weglassen! Also ""_25._tcp.mail" eintragen (ohne Punkt am Ende). Dann funktioniert es.

Darauf muss man erst mal kommen.

Viele Grüße, Markus

PS INWX ist DNSSEC tauglich und auch kein Plastikrouter.