Hallo

[Michael Schwartzkopff]

Am Donnerstag, 15. Januar 2015, 12:23:36 schrieb Frank Fiene:
> Hmmm, DNSVIZ gibt einen Timeout für meinen Primary DNS an, brauchen die
> unbedingt TCP/53? Scheint so …

DNSSEC Antworten können ziemlich lang werden. Wenn die Antwort nicht in ein 
udp Paket (MTU =1500 Byte!) passt, sagt der DNS Server, dass der Client noch 
einmal per TCP anfragen soll.

Mach mal einen tcpdump auf port 53 tcp und udp!

> Ist das ein Problem, als Mailserver nutze ich den Firmenmailserver, muss
> diese Domain auch komplett DNSSEC geschützt sein oder reicht da der
> TLSA-Record.

Kein Problem. Du musst nur die Signatur des Zertifikats des Mailservers in 
Deiner Zone veröffentlichen und signieren.
 
> Wobei funktioniert ein TLSA-Record überhaupt ohne eine DNSSEC-abgesicherte
> Domain?

Siehe:
https://sys4.de/de/blog/2014/05/24/einen-tlsa-record-fuer-dane-mit-bind-9-publizieren/

und

https://sys4.de/en/blog/2014/05/23/dnssec-fuer-mailserver-richtig-einrichten/

Ohne DNSSEC geht das nicht, weil der Client dann den DNS Informationen nicht 
vertrauen kann.


Mit freundlichen Grüßen,

Michael Schwartzkopff

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64, +49 (162) 165 0044
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein