Netcup DNS-Resolver: auch mit DNSSEC Support?

  • Mein Server bei Netcup nutzt folgende zwei DNS-Resolver (von Netcup zur Verfügung gestellt):
    46.38.225.230 46.38.252.230


    Diese beiden haben aber kein aktiviertes DNSSEC. Fragt man eine DNSSEC aktivierte Domain z.B. mit "dig +dnssec ..." ab, so wird kein AD-Flag (Authenticated Data) zurückgeliefert.


    Ich könnte freilich einfach die Google-Resolver 8.8.8.8 und 8.8.4.4 verwenden, die liefern bei DNSSEC aktivierten Domains korrekt das AD-Flag, somit könnte ich damit einen Mailserver der ausgehend mit DANE arbeitet einfach in Betrieb nehmen. Mir widerstrebt aber eigentlich die Google-Resolver auf meinem Rootserver zu konfigurieren.


    Stellt Netcup vielleich noch andere Resolver als die von mir oben genannten bereit, die DNSSEC beherrschen?

  • *Paranoia-Modus an*
    Grundsätzlich ist ein DNSSEC validierender Resolver ausserhalb deines gesicherten Netzes nicht viel wert. Du kannst dich dann immer noch nicht darauf verlassen, ob die Antwort nicht vielleicht zwischen dir und dem Resolver manipuliert wurde.
    Für 'echtes' DNSSEC musst du selbst resolven und validieren.
    *Paranoia-Modus aus*

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

  • Dein Einwand ist vollkommen berechtigt, genau daher möchte ich ja nicht die Google-Resolver verwenden, sondern lokale Netcup Resolver die nur 1-2 Hops entfernt von meinem Server stehen.
    Ich kann freilich einen Resolver lokal betreiben, hätte dann aber gerne noch einen zweiten. Und ehrlichgesagt ist es mir schleierhaft was Netcup da als Resolver einsetzt - die mir bekannten Resolver beherrschen seit Jahren in der Default-Konfiguration DNSSEC - das muss also extra abgeschaltet worden sein.