Uwe Koloska <u...@koloro.de> (Sa 27 Aug 2016 17:55:27 CEST): > Am 26.08.2016 um 22:38 schrieb Heiko Schlittermann: > > Real Men fragen nicht den Nameserver des Providers. … > > Wen denn dann, wenn es nicht Google oder der gar nicht so offene OpenDNS … > * schnell sind > * keine Datenschutzbedenken auslösen > * keine Antworten verändern oder unterdrücken > > Oder machen "Real Men" ihre rekursive Auflösung immer selbst?
Ja. Warum sollte man nicht die Rekusion komplett alleine machen, statt
sich auf die Proxies zu verlassen. (Warum betreibt Google öffentliche
DNS-Resolver. Helfersyndrom, oder weil sie gerne wissen möchten, was die
Welt so sucht?)
Jeder Bind hat die Hint-Data dabei, die Liste der 13 Root-Server, und
kann sich den Rest selbst zusammensuchen.
> > (Und, DNS liefert
> > keine DKIM-Signaturen, oder verstehe ich etwas falsch?)
>
> OK, falsches Wort: Ich meinte DKIM Domainkeys. Die liefert der
> DNS-Server meines Providers nicht aus, weil der TXT-Record zu groß ist
> und der Server kein EDNS kann (oder das falsch konfiguriert ist).
Redest Du vom kasserver, also *Deiner* Domain. Der scheint mir aber EDNS
zu können.
Und selbst ohne DNS sollte ein großer Datensatz kein Problem sein, dafür
gibt es ein Fallback auf TCP. Oft ist nicht der Server, sondern der
Client falsch konfiguriert (z.B. TCP Port 53 wird nicht raus gelassen,
und die Antworten dann nicht rein), oder eine Firewall (bisher
eigentlich immer beim Client) denkt, dass UDP Pakete von einem Port 53 nicht
mehr als 512 Byte haben dürfen.
> >> Thema Forward für einzelne Domains:
> > Ich meine, das geht schon immer.
> > zone "foobar.de" {
> > type forward;
> > forwarders { 1.1.1.1; 2.2.2.2; };
> > };
> > Oder auch stub-Zones
> > (https://lists.isc.org/pipermail/bind-users/2011-March/083244.html)
> Cool. Wieder was gelernt. Danke!
Gerne :)
--
Heiko
signature.asc
Description: Digital signature
