• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagetracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

DNSSEC -

M

mabu

Well-known member
Registriert
19 Dezember 2019
Beiträge
391
Reaktionspunkte
41
Hallo.

Habe im Forum schon ein wenig was zu DNSSEC und DANE gelesen. Evtl. dabei auch bestimmte Punkte überlesen. Ich habe zumindest noch Verständnisfragen.

Und ich versuche es mal der Reihe nach, da es dadurch vielleicht schon ein wenig klarer werden könnte. Grundsätzlich ist mir die Abhängigkeit zu DNSSEC bekannt.

Im NSP gibt es in der Konfig bei "DNS-Server" die Option "Aktivere DNSSEC". Dies ist bei uns deaktiviert, da die DNS-Server unseres RZs DNSSEC bisher nicht unterstützen. Daher hat auch NSP-Support dazu geraten, diese Option zu deaktivieren.

Frage 1: muss nur die GW-Rolle DNS-Resolver nutzen, die DNSSEC-fähig sind? Oder ist dies bei aktiviertem DNSSEC im NSP auch für die Intranetrolle wichtig?

Frage 2: in der Nachrichtenverfolgung habe ich irgendwas zu DNSSEC/DANE bisher nur bei einigen ausgehenden Mails im Reiter "Zustellung" gefunden - "Die Authentifizierung mittels DANE wurde nicht durchgeführt , da die DNSSEC-Überprüfung nicht erfolgreich war." Aber im NSP ist DNSSEC bei uns ja auch deaktiviert. Warum dann also diese Info bei der Nachricht?

Und dies bei einer Empfängerdomäne, bei der DNSSEC aktiviert ist, es aber keinen TLSA-Record gibt. Bei Mails an gmx.-net (DNSSEC und TLSA vorhanden) gibt es in den Eintrag in der Nachrichtenverfolgung nicht.

Danke vorab für Eure Erklärungen. Hoffe, dass sich damit dann auch vermutlich die weiteren Fragen direkt für mich klären werden.
 
Hallo Martin,

mabu schrieb:
Im NSP gibt es in der Konfig bei "DNS-Server" die Option "Aktivere DNSSEC". Dies ist bei uns deaktiviert, da die DNS-Server unseres RZs DNSSEC bisher nicht unterstützen. Daher hat auch NSP-Support dazu geraten, diese Option zu deaktivieren.
Zum Vergrößern anklicken....

unsere DNS-Server unterstützen das auch nicht. Steht auf der ToDo .... irgendwann mal :rolleyes:
Jedoch kannst du dem NSP doch abweichende DNS-Resolver, welche DNSSEC und DANE unterstützen, beibringen:
1777975055971.png


mabu schrieb:
Frage 1: muss nur die GW-Rolle DNS-Resolver nutzen, die DNSSEC-fähig sind? Oder ist dies bei aktiviertem DNSSEC im NSP auch für die Intranetrolle wichtig?
Zum Vergrößern anklicken....
Vorab: Vermutung, kein Wissen!
Jedoch würde ich sagen, das es die Gateways betrifft, da diese ja die Prüfung und das Handlng der Prüfungen u.a. DNS-Abfragen tätigen.


mabu schrieb:
Frage 2: in der Nachrichtenverfolgung habe ich irgendwas zu DNSSEC/DANE bisher nur bei einigen ausgehenden Mails im Reiter "Zustellung" gefunden - "Die Authentifizierung mittels DANE wurde nicht durchgeführt , da die DNSSEC-Überprüfung nicht erfolgreich war." Aber im NSP ist DNSSEC bei uns ja auch deaktiviert. Warum dann also diese Info bei der Nachricht?
Zum Vergrößern anklicken....
Hinweis/ doppelt gemoppelt? Wahrscheinlich steht es hier, sodass Admins den Hinweis besser sehen sollte die Prüfung wider Erwarten nicht mehr funktionieren.
Könnte man in Abhängigkeit von der Deaktivierung von DNSSEC ausblenden lassen, jedoch Kosten/ Nutzen bei der Entwicklung.

mabu schrieb:
Und dies bei einer Empfängerdomäne, bei der DNSSEC aktiviert ist, es aber keinen TLSA-Record gibt. Bei Mails an gmx.-net (DNSSEC und TLSA vorhanden) gibt es in den Eintrag in der Nachrichtenverfolgung nicht.
Zum Vergrößern anklicken....

Sofern aktiviert sollte es wie folgt aussehen:

1777975308296.png

LG
Fabian
 
Hallo Fabian.

Fabian schrieb:
Jedoch kannst du dem NSP doch abweichende DNS-Resolver, welche DNSSEC und DANE unterstützen, beibringen:
Zum Vergrößern anklicken....
Das hatte ich schon versucht und da bin ich mit unserem RZ in Klärung. Wenn ich da DNS-Server von DNS4EU eintrage, dann prüft NSP auf GW- und Intranetrolle, ob dieser DNS-Server erreicht werden kann. Und von der Intranetrolle her sind die Ports für DNS-Abfragen nach extern aktuell nicht freigegeben. Daher kann ich diesen Weg aktuell leider nicht nutzen.

Laut Rückmeldung vom Support sollte eigentlich nur der DNS-Server für die GW-Rolle einen DNSSEC-fähigen Resolver nutzen.

Ich muss jetzt erstmal auf Rückmeldung vom RZ warten. Mir wurde vorhin mitgeteilt, dass sie vorab schon ganz gerne eine Info hätten, wenn ich auf dem virtuellen Server der GW-Rolle auf der Netzwerkkarte den DNS-Eintrag vom internen auf einen externen umstelle. Technisch kommt der Server an den externen DNS aber ran.

Und sie wollen meine Anfrage nach Bereitstellung eines DNS-Resolvers prüfen, der auch DNSSEC-Anfragen verarbeiten kann. Das wäre ja mal ein Schritt in die richtige Richtung.

Mal schauen, ob wir das in den nächsten Wochen nicht doch noch aktiviert bekommen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

F
Feature-Vorschlag: Domainrating für DNSSEC und DANE
Antworten
7
Aufrufe
306
Sarah
S
F
  • Artikel Artikel
Implementierung und Betrachtung von DNSSEC und DANE aus Kundensicht
Antworten
1
Aufrufe
209
869288141
8
C
4.4.4 Delivery failed
Antworten
15
Aufrufe
1K
Chriss
C
M
Gelöst "Schutz sensibler Daten" - Fragen
Antworten
4
Aufrufe
170
mabu
M
M
Fragen zu Systemvoraussetzungen für Web Portal
Antworten
8
Aufrufe
353
869288141
8
Zurück
Oben