Moin,
hier sind doch auch ein paar Leute dabei, die sich auskennen.
Ich habe lokal systemd-resolved am Start. Der macht ja auch DNSSec-Validation.
Funktioniert auch:
$ systemd-resolve -t mx schlittermann.de schlittermann.de IN MX 80 ssl.schlittermann.de -- link: wlp4s0 schlittermann.de IN MX 90 hh.schlittermann.de -- link: wlp4s0 schlittermann.de IN MX 99 tigger.schlittermann.de -- link: wlp4s0
-- Information acquired via protocol DNS in 4.4ms. -- Data is authenticated: yes
Der resolvd lauscht zusätzlich auf 127.0.0.53 Port 53
dig @127.0.0.53 mx schlittermann.de +qr
liefert mir erstmal die Antwort, aber ohne AD Bit. Obwohl ich danach gefragt habe:
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> @127.0.0.53 mx schlittermann.de +qr ; (1 server found) ;; global options: +cmd ;; Sending: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61040 ;; flags: rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 -----------------^^
In der Antwort fehlt es dann: ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61040 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 -------------------^^^^
Ein anderer validierender Resolver liefert sofort das AD Bit. (Leicht zu testen mit dig @1.1.1.1 …)
Wenn ich dem Dig jetzt das DNSSEC Flag mitgebe, was für mich eigentlich bedeutet „Hey, Server, ich bitte schicke mir die DNSSEC Daten“, dann bekomme ich bei der Kommunikation mit dem systemd-resolved das AD bit, aber keine DNSSEC Datensätze. Bei der Kommunikation mit z.B. 1.1.1.1 bekomme ich die DNSSEC Datensätze, wie ich es erwartet hätte.
Was ist hier los?
Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de ---------------------------- internet & unix support - Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} - gnupg encrypted messages are welcome --------------- key ID: F69376CE - ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -