[GELÖST] DNS-Resolver cksoft.de liefert falsche Daten

[Enthusiast]

Hallo Leute,

ich habe auf jeweils Debian 12 je einen Bind9-Server am Laufen ns1, ns2 und ns3. Folgendes Problem besteht beim Reverse-Lookup:
Mailserver können mx2.germany.com (192.109.24.71) nicht korrekt auflösen.
Das klappt noch:

Code: Alles auswählen

dig @8.8.8.8 A mx2.germany.com +short
192.109.24.71

Dagegen funktioniert das nicht mehr richtig:

Code: Alles auswählen

$ dig @8.8.8.8 -x 192.109.24.71 +short
mail.germany.com.

Wenn ich meine DNS-Server abfrage, stimmt Letzteres wieder:

Code: Alles auswählen

$ dig @ns1.germany.com -x 192.109.24.71 +short
mx2.germany.com.
$ dig @ns2.germany.com -x 192.109.24.71 +short
mx2.germany.com.
$ dig @ns3.germany.com -x 192.109.24.71 +short
mx2.germany.com.

Meine PTR-Einträge in der Reverse-Zonendatei zeigen nachweislich auf "71" und "mx2", nicht aber auf "mail".

Um dem Fehler weiter auf die Spur zu kommen, habe ich die SOA-Einträge der Reverse-Zonendatei untersucht. Zuvor habe ich die Zonendateien mit einer aktuellen Serial-Number versehen und den Dienst neugestartet.

Code: Alles auswählen

dig @ns1.germany.com SOA 24.109.192.in-addr.arpa

; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> @ns1.germany.com SOA 24.109.192.in-addr.arpa
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18694
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 5a41b84ba6c469630100000067547c0778e6b1ba037e7a28 (good)
;; QUESTION SECTION:
;24.109.192.in-addr.arpa.       IN      SOA

;; ANSWER SECTION:
24.109.192.in-addr.arpa. 172800 IN      SOA     ns1.germany.com. hostmaster.germany.com. 2024120701 28800 9600 604800 3600

Das stimmt soweit, aber diese Antwort macht mich stutzig:

Code: Alles auswählen

$ dig @8.8.8.8 SOA 24.109.192.in-addr.arpa

; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> @8.8.8.8 SOA 24.109.192.in-addr.arpa
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65316
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;24.109.192.in-addr.arpa.       IN      SOA

;; ANSWER SECTION:
24.109.192.in-addr.arpa. 1068   IN      SOA     ns1.cksoft.de. hostmas.cksoft.de. 2018090600 28800 7200 1209600 86400

Das ist eine sechs Jahre alte Serial-Number! Und ich kenne auch weder "cksoft.de" noch ist die dazugehörige IP-Adresse 195.88.108.20 in meinen Config-Files für den Zonentransfer eingetragen.
Wie kann ich das Problem lösen? Ich bin dabei einen zweiten Mailserver aufzusetzen, was aber keinen Sinn macht, wenn ein solcher DNS-Resolver wie ns1.cksoft.de falsche Werte ausliefert.

Viele Grüße und vielen Dank für zahlreiche Anregungen.

[bluestar]

Wie kann ich das Problem lösen? Ich bin dabei einen zweiten Mailserver aufzusetzen, was aber keinen Sinn macht, wenn ein solcher DNS-Resolver wie ns1.cksoft.de falsche Werte ausliefert.

Du könntest mal deinen Support kontaktieren oder einfach einen anderen Resolver nehmen (z.B. G...gle oder quad9 oder digitalcourage.de oder digitale-gesellschaft.ch oder oder oder).

[Enthusiast]

Wie kann ich das Problem lösen? Ich bin dabei einen zweiten Mailserver aufzusetzen, was aber keinen Sinn macht, wenn ein solcher DNS-Resolver wie ns1.cksoft.de falsche Werte ausliefert.

Du könntest mal deinen Support kontaktieren oder einfach einen anderen Resolver nehmen (z.B. G...gle oder quad9 oder digitalcourage.de oder digitale-gesellschaft.ch oder oder oder).

Das ist keine Lösung, denn ich kontaktiere mich bereits durch intensives Nachdenken. Fakt ist, ich weiß nicht wo ns1.cksoft.de herkommt. Ich habe ihn nirgends in die Configs eingepflegt.

[debilian]

vielleicht kommt der ns1.cksoft.de von deinem Registrar / Provider?

[bluestar]

Das ist keine Lösung, denn ich kontaktiere mich bereits durch intensives Nachdenken. Fakt ist, ich weiß nicht wo ns1.cksoft.de herkommt. Ich habe ihn nirgends in die Configs eingepflegt.

Du musst denjenigen kontaktieren, von dem du die IP Adresse erhalten hast, derjenige kann den PTR Record für die IP-Adresse setzen.

[chrbr]

Neugierig wie ich bin babe ich das mal ausprobiert, allerdings nicht unter Debian. Die Ausgaben sind leicht gekürzt.

Code: Alles auswählen

> drill mx2.germany.com
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 49824
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
;; QUESTION SECTION:
;; mx2.germany.com.	IN	A

;; ANSWER SECTION:
mx2.germany.com.	3152	IN	A	192.109.24.76

Hier ist die IP-Adresse eine andere.

Code: Alles auswählen

> drill -x 192.109.24.76
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 1571
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 
;; QUESTION SECTION:
;; 76.24.109.192.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
76.24.109.192.in-addr.arpa.	3180	IN	PTR	www.schwaben.de.

;; AUTHORITY SECTION:
24.109.192.in-addr.arpa.	3171	IN	NS	ns1.cksoft.de.
24.109.192.in-addr.arpa.	3171	IN	NS	ns2.cksoft.net.

Code: Alles auswählen

> drill -x 192.109.24.71
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 8205
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 
;; QUESTION SECTION:
;; 71.24.109.192.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
71.24.109.192.in-addr.arpa.	3133	IN	PTR	mail.germany.com.

;; AUTHORITY SECTION:
24.109.192.in-addr.arpa.	3132	IN	NS	ns2.cksoft.net.
24.109.192.in-addr.arpa.	3132	IN	NS	ns1.cksoft.de.

Vielleich hilft das ja bei der Diagnose.

[Enthusiast]

Neugierig wie ich bin babe ich das mal ausprobiert, allerdings nicht unter Debian. Die Ausgaben sind leicht gekürzt.

Code: Alles auswählen

> drill mx2.germany.com
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 49824
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
;; QUESTION SECTION:
;; mx2.germany.com.	IN	A

;; ANSWER SECTION:
mx2.germany.com.	3152	IN	A	192.109.24.76

Hier ist die IP-Adresse eine andere.

Das ist richtig, weil ich heute versucht hatte, das über eine andere IP-Adresse zu lösen. Aber wie Du richtig festgestellt hast, läuft das immer auf "ns1.cksoft.de" und eine Uralt-Serialnumber hinaus. Das war lange vor meiner Zeit und hatte noch nie etwas in Richtung ns1.cksoft.de eingerichtet, sonst wüsste ich ja davon. Meine Config lässt auch keinen Transfer dorthin zu.
Also ist meine Frage, wie bekomme ich das raus? Mir gehören die Domains auch nicht und ich habe auch keinen Zugriff auf den Regristrar.

[bluestar]

Also ist meine Frage, wie bekomme ich das raus? Mir gehören die Domains auch nicht und ich habe auch keinen Zugriff auf den Regristrar.

Spricht deinen Provider an, er gibt dir die IP Adresse und er ist entsprechend in der Lage den Reverse Eintrag zu setzen.

[Enthusiast]

Die anderen Hostnamen unter dieser Reversezonendatei und in diesem Netzwerk werden richtig aufgelöst.

[Enthusiast]

Spricht deinen Provider an, er gibt dir die IP Adresse und er ist entsprechend in der Lage den Reverse Eintrag zu setzen.

Wie gesagt es ist nicht mein Provider, sonst hätte ich das schon längst getan. Ich mache hier nur das DNS, und die IP-Adressen sind vorgegeben.

[bluestar]

Spricht deinen Provider an, er gibt dir die IP Adresse und er ist entsprechend in der Lage den Reverse Eintrag zu setzen.

Wie gesagt es ist nicht mein Provider, sonst hätte ich das schon längst getan. Ich mache hier nur das DNS, und die IP-Adressen sind vorgegeben.

Bei welchem Anbieter steht dein Server? Alternativ auch von welchem Anbieter/Dienstleister hast du die IP-Adressen bekommen?

[Livingston]

Was ergibt denn eine whois-Abfrage?
Ich würde mal alle beteiligten IPs und URL damit testen, z.B.

Code: Alles auswählen

$ whois ns1.cksoft.de
$ whois mail.germany.com
$ whois 192.109.24.76
...

[Enthusiast]

Okay Leute,

vielen Dank für Euere regen Tipps. Das Problem lag mal wieder bei der Schußlichkeit gewisser Möchtegern-Admins in Sachen DNS. Ihm gehören besagte Domains und vor allem der Adressraum. Und der hatte seit sechs Jahren vergessen einen Eintrag bei RIPE zu den verantwortlichen DNS-Servern zu machen. Aufgefallen war das mir deshalb nicht, weil ich damals alle bisherigen Hostnamen übernommen hatte. Das Neuanlegen eines weiteren Hostnamens hatte diese Schußlichkeit zutage gebracht.