Je tente d'implémenter un resolver DNSSEC sur mon serveur afin de valider les clés DKIM des mails que je reçois.
J'ai configuré mon resolv.conf pour aller demander à bind9 de résoudre les requêtes.
/etc/resolv.conf
nameserver 127.0.0.1
/etc/bind/named.conf.options
options {
directory "/var/cache/bind";
forwarders {
213.186.33.99;
};
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { ::1; };
listen-on { 127.0.0.1; };
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
allow-recursion { 127.0.0.1; };
};
managed-keys {
[.....]
}
Les requêtes avec dig utilisent bien DNSSEC et me donnent un SERVFAIL quand il faut :
dig www.dnssec-failed.org +dnssec ; <<>> DiG 9.7.3 <<>> www.dnssec-failed.org +dnssec ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 37976 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.dnssec-failed.org. IN A ;; Query time: 3 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Sat Jan 19 15:40:46 2013 ;; MSG SIZE rcvd: 50
Seulement voilà, j'ai l'impression que le système en lui-même n'utilise pas DNSSEC car je peux toujours pinger ce domaine :
ping www.dnssec-failed.org PING www.dnssec-failed.org.fr (94.23.128.152) 56(84) bytes of data. 64 bytes from 94.23.128.152: icmp_req=1 ttl=123 time=4.71 ms ...
Est-ce un comportement normal ?
