qmailとDNSSEC

以前furelo.jpドメインをDNSSECに対応させたが、メール転送がされないメールサーバがあることに気づいた。

転送されないメールサーバはqmailで構築されており、そのqmailのエラーログを見ると、以下ようなDNSが引けないというエラーが出ていた。

deferral: CNAME_lookup_failed_temporarily._(#4.4.3)/

digコマンドでmxを引いても問題なく引け、またIPv6アドレスをMXにしていないので問題ないのにと思っていた。
googleで検索すると、qmailは以下のようなANYタイプでDNSを引いているらしいことがわかった。

$ dig @dns1.furelo.jp furelo.jp ANY +noall +answer
;; Truncated, retrying in TCP mode.

; <<>> DiG 9.7.2-P3 <<>> @dns1.furelo.jp furelo.jp ANY +noall +answer
; (2 servers found)
;; global options: +cmd
furelo.jp.              3600    IN      SOA     dns1.furelo.jp. tmaki.furelo.jp. 2011022101 0 300 900 86400
furelo.jp.              3600    IN      NS      dns1.furelo.jp.
furelo.jp.              3600    IN      NS      dns2.furelo.jp.
furelo.jp.              3600    IN      MX      20 mail.furelo.jp.
furelo.jp.              3600    IN      TXT     "google-site-verification=tUEEpNgMQUbnOEBKcJ0z3oX37FtLaCWMjtP_-OJxax0"
furelo.jp.              3600    IN      TXT     "v=spf1 a mx -all"
furelo.jp.              86400   IN      DNSKEY  257 3 8 AwEAAcE4YUHSmVQqFtMa0XxS8dqy4sMLIaZmiLidzOejwajwYNNEKO8m 9EB1Pzjrme/Gco8BjhZ2A+GarhSaT7Fs2H0Z93pLO3CQ9ScpNVzTDKuX o7G/eA8JJFFMqJwxrhVDrvTZs0rGhFVJE+jYvJgJA9J8hYJppcwHiX2f 7/Xtx0NW+5Bc3/Fk5CdPX2lfkmVa3g2eeH+NbTCwJq4Ky1ERdM2thdHS eg/Ia9ZLmtQHc+6EjM9mapHAWq/dNIPw/PQK+vN7gsQUldtP8mrslsRo AEkzM8wr7UJXII9RitKvoXKm3MoYA56ppiKqEfj4KovtBNtltGfiUvIE ZpK5SNyWdTM=
furelo.jp.              86400   IN      DNSKEY  256 3 8 AwEAAeehfViBaakd7ron8kkuaNOIOAKD+skjyLwRG1uOLoST2urf/k1h SWj9yzHShZKruVyTXSmo9lxyjg2yW6ZTyy8lzxeMUbA5eYGgqeAsuxVj IZj95Y1EjBJES00wPtP8b3OGB/oUSn0FJe31YcR81+Ed+r/ndhj1ZVf5 rSbGvSU3
furelo.jp.              86400   IN      DNSKEY  256 3 8 AwEAAdOJi9b2YeaRA+IdLcHjFgKwcu+qnBqOAW4Usi49UJOIr73/zq3H vDcenH/uEJclIJSwn6smxLzZk0GOXz2laa42EU9Af2ZD2wc+4otBOlh9 DNXJ/thDkxGPjgFyXswcN3kVtyyQIj9xYMelBEG8ODagAvR0UQSbuxiw CNL0+Giz

DNSSEC関連のレコードが追加され、見事に512byteUDPパケット問題に引っかかっていた。

なお、DNSキャッシュサーバ(pdns-recursor)に対し、ANYタイプを引いてもDNSSECのレコードは出てこない。

$ dig @localhost furelo.jp ANY +noall +answer

; <<>> DiG 9.7.2-P3 <<>> @localhost furelo.jp ANY +noall +answer
; (1 server found)
;; global options: +cmd
furelo.jp.              76119   IN      NS      dns2.furelo.jp.
furelo.jp.              76119   IN      NS      dns1.furelo.jp.

ここで問題なのが、以下の2点
1.jpドメインがDNSSEC対応したことで、順次DNSSEC対応のメールサーバが増えていくこと
2.メールがなぜ届かないのか原因が分かりにくいこと

パッチがあたっていないqmailでメーリングリストを運用している場合など、特に問題となる。
512ByteUDPパケット問題は、IPv6のときに表面化すると思っていたが、それ以前にDNSSEC対応で問題となっていた。

カテゴリー: DNSSEC, IPv6, Technology パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)