Unbound mit privaten reverse Zonen

Robert Schetterer, 27.02.2015

   unbound

Kürzlich wollte ich einen lokalen caching only DNS Resolver mit Unbound in einem Intranet aufsetzen. Es zeigte sich, dass die Einrichtung für private Reverse Zonen nicht ganz einfach ist. Hier nur kurz ein Ausschnitt der dafür relevanten Teile der Konfig.

forward-zone:
      name: "example.com"
      forward-addr: ip.ad.re.sse
      forward-addr …
Continue reading

DANE Monitoring with posttls-finger in XYMON

Here is a small experimental XYMON client script for checking maildomains validation via DANE.

The script requires Viktor Dukhovnies tool posttls-finger to test DANE enabled servers. posttls-finger comes with Postfix 2.11.x, but it might not always be bundled with your distribution, since it has been marked expermental. This …

Continue reading

DNSSEC für Mailserver richtig einrichten

E-Mail ohne DNS ist kaum vorstellbar. Nahezu alle E-Mail-Routing-Entscheidungen basieren auf Informationen, die der Mailserver durch DNS-Abfragen erlangt hat. Umso erstaunlicher ist, dass viele gerade bei der DNS-Abfrage keinen besonderen Wert darauf legen, mit Sicherheit vertrauenswürdige Routing-Informationen zu erhalten. Was ist, wenn ein Angreifer per MITM-Attacke das DNS fälscht und …

Continue reading

E-Mail fehlerhafter Nameserver ablehnen

Wir setzen unbound ein, weil wir für DNSSEC einen lokalen Resolver benötigen und weil unbound einfach gut ist. Umso erstaunter waren wir alle, als uns logcheck diese Woche mit regelmäßigen Meldungen über unbound-Fehler beim Auflösen von Nameservern beglückte:

System Events
=-=-=-=-=-=-=
Mar 31 04:31:21 mail unbound: [1482:0 …
Continue reading