Uwe Koloska ml@koloro.de (Di 14 Jun 2016 13:23:33 CEST):
Über/durch meine 7490 geht der Request zu beantworten.
Ich habe mittlerweile festgestellt, dass es nicht die Fritzbox ist sondern der DNS meines Providers. Es scheint viele DNS-Server zu geben, die nicht mehr als 512 Zeichen in einem Record akzeptieren. Deshalb haben die ganzen großen Mailanbieter auch nur 2048 Bit Schlüssel.
Ich glaube, das ist so nicht richtig.
Es gibt kaputte Routerfirmware und kaputte Firewalleinstellungen, die meinen, bei Port 53/UDP dürften es nicht mehr als 512B sein. Das stimmte früher, da was das tatsächlich die maximale Größe bei DNS.
Heute wird Dein Client (dig) dem Server mitteilen, wie groß die UDP Pakete sein dürfen.
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION:
Sonst wären zu oft TCP-Verbindungen notwendig. Das kannst du mit
+bufsize=…
beim Dig probieren.
dig @8.8.8.8 +qr +bufsize=256 RRSIG ssl.schlitterman.de
In Deinem Fall wehrt sich der DNS-Proxy (in der Fritzbox ist das, glaube ich, Dnsmasq) mit SERVFAIL. Das kann viele Ursachen haben, z.B. fehlerhafte DNSSec Validierung (der von Dir genannte Name ist aber nicht über DNSSec geschützt).
Dnsmasq ist mir bis jetzt nicht immer durch korrektes Verhalten aufgefallen, allerdings würde ich vermuten, dass auch Dnsmasq schon was von EDNS gehört haben sollte und von DNS-Paketen, die 512+ Byte groß sind.
SERVFAIL kommt bestimmt sehr schnell.
dig +qr …
Was kommt da, wie sieht also die Query und wie sieht die komplette Antwort aus?