Uwe Koloska uwe@koloro.de (Sa 27 Aug 2016 17:55:27 CEST):
Am 26.08.2016 um 22:38 schrieb Heiko Schlittermann:
Real Men fragen nicht den Nameserver des Providers.
…
Wen denn dann, wenn es nicht Google oder der gar nicht so offene OpenDNS
…
- schnell sind
- keine Datenschutzbedenken auslösen
- keine Antworten verändern oder unterdrücken
Oder machen "Real Men" ihre rekursive Auflösung immer selbst?
Ja. Warum sollte man nicht die Rekusion komplett alleine machen, statt sich auf die Proxies zu verlassen. (Warum betreibt Google öffentliche DNS-Resolver. Helfersyndrom, oder weil sie gerne wissen möchten, was die Welt so sucht?)
Jeder Bind hat die Hint-Data dabei, die Liste der 13 Root-Server, und kann sich den Rest selbst zusammensuchen.
(Und, DNS liefert keine DKIM-Signaturen, oder verstehe ich etwas falsch?)
OK, falsches Wort: Ich meinte DKIM Domainkeys. Die liefert der DNS-Server meines Providers nicht aus, weil der TXT-Record zu groß ist und der Server kein EDNS kann (oder das falsch konfiguriert ist).
Redest Du vom kasserver, also *Deiner* Domain. Der scheint mir aber EDNS zu können.
Und selbst ohne DNS sollte ein großer Datensatz kein Problem sein, dafür gibt es ein Fallback auf TCP. Oft ist nicht der Server, sondern der Client falsch konfiguriert (z.B. TCP Port 53 wird nicht raus gelassen, und die Antworten dann nicht rein), oder eine Firewall (bisher eigentlich immer beim Client) denkt, dass UDP Pakete von einem Port 53 nicht mehr als 512 Byte haben dürfen.
Thema Forward für einzelne Domains:
Ich meine, das geht schon immer. zone "foobar.de" { type forward; forwarders { 1.1.1.1; 2.2.2.2; }; }; Oder auch stub-Zones (https://lists.isc.org/pipermail/bind-users/2011-March/083244.html)
Cool. Wieder was gelernt. Danke!
Gerne :)