Posts by bernd@net2o.de

    Sowas kriege ich auch. Da steht dann drin:


    Code
    1. [deleted] host
    2.     outlook-com.olc.protection.outlook.com[104.47.33.33] said: 550 5.7.1
    3.     Unfortunately, messages from [185.183.156.191] weren't sent. Please contact
    4.     your Internet service provider since part of their network is on our block
    5.     list (AS3150). You can also refer your provider to
    6.     http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL
    7.     FROM command)

    Einen richtigen Reim kann ich mir nicht draus machen, denn AS3150 ist von 2000 NTT angelegt worden, und da sind derzeit gar keine IP-Adressen mehr drin.


    Zum Glück habe ich nur ganz wenige Kontakte, die sich einen outlook/hotmail-Account eingetreten haben.

    Hallo,


    Ich habe meine .de-Domains jetzt auf DNSSEC umgestellt, und gleich auch noch DANE aktiviert, dabei sind beim Verifizieren ein paar Merkwürdigkeiten aufgetreten. Insbesondere kommt es anscheinend relativ häufig vor, dass die RRSIG zum falschen Namen eingetragen wird. Beispiel


    % dig @root-dns.netcup.net. +answer +dnssec +nocmd +nocomments any blog.bernd-paysan.de
    blog.bernd-paysan.de. 86400 IN CNAME blog-en.bernd-paysan.de.



    keine RRSIG. zum CNAME. Aber


    % dig @root-dns.netcup.net. +answer +dnssec +nocmd +nocomments any blog-en.bernd-paysan.de
    blog-en.bernd-paysan.de. 86400 IN A 37.221.194.73
    blog-en.bernd-paysan.de. 86400 IN AAAA 2a03:4000:2:188:0:be2:11d:b109
    blog-en.bernd-paysan.de. 86400 IN RRSIG A 8 3 86400 20160614003900 20160514003900 1
    820 bernd-paysan.de. BULxe09Mn4rabMU/HWhW6JYJKnAiiGqyI+DsIgdQXGKfnKjiw5jnukMU E7nCQ/EgtUPwa
    sxreArZEJFpkid7swr13AfbT837aK5+shGcUGq3D1rW Tf/alVMPG5HNSFbWHbc44zdpoJZgXXjkuG4jqKOGX3ZKF6H
    jH5Za5TUE +HE=
    blog-en.bernd-paysan.de. 86400 IN RRSIG AAAA 8 3 86400 20160614003900 2016051400390
    0 1820 bernd-paysan.de. Yai/yAu37kdSaLK1NVgOtUp+2rQditNB9LfJ8oYJfzoksGa3lXTx506O 0RE2dMUw2E
    +FgMR1c3NnveY7Mro8zQ5nMgczbgKZEMnmMiuu7fWhXFKH kDjdmfEeKrhgK8/l3SB9lmUx9HmnIfITYWy1zwnrmSDV
    rIoco/hk1BeJ oV8=
    blog-en.bernd-paysan.de. 86400 IN RRSIG CNAME 8 3 86400 20160614003900 201605140039
    00 1820 bernd-paysan.de. gcGR4YEpye9G4Tzr7QsCMl4W5LNwJuI9TDJXE1L+9P7db21u8m6fMC2O AkYmS/TXu
    GRSRxTAizr46lwkMn+QjKCrCgDw3DcxCj3btN2i2zgwfnhx nDy3YXqdMnVkL0MoJXn7d4UZKJCjUx+Bgco4r2MQByI
    LN/oQcVEZhgxP ovY=

    Ja, da ist ja der RRSIG für den CNAME von blog! Nach allem, was ich bis jetzt diagnostizieren konnte, kann man keine Hosts eintragen, die Präfix eines anderen Hosts sind; die RRSIG wird dann dem längeren Hostnamen zugewiesen (dem ersten, wenn es mehrere gibt). Das stört auch bei TLSA-Records, weil man z.B. _443._tcp und _443._tcp.www haben will. Ersterer wird nicht signiert, zweiter hat dann zwei Signaturen, was natürlich genauso stört. Neben blog-en habe ich auch noch blogspot und blogger als weitere Namen mit gleichem Präfix eingetragen, die Kollision findet mit dem alphabetisch ersten statt, also eben blog-en, die anderen sind normal signiert.


    Ich lass' diese Einträge jetzt mal bis nächste Woche stehen, ohne Workaround für mich, und wünsche frohe Pfingsten.