<div dir="ltr">On Thu, Oct 16, 2014 at 4:35 AM, Bernhard Schmidt <span dir="ltr"><<a href="mailto:berni@birkenwald.de" target="_blank">berni@birkenwald.de</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">we have recently enabled outbound TLSA/DANE on our Postfix MTAs and have<br>
come across a number of validation errors. These have the following in<br>
common:<br>
<br>
- The zone where the mailserver (right side of the MX record of the<br>
target domain) resides in is signed<br>
- there is a wildcard record on the zone level<br>
- lookup of mailserver A/AAAA works fine and is authenticated<br>
- lookup of _25._tcp.mailserver TLSA leads to SERVFAIL on our resolver<br>
(BIND 9.9.5), Google DNS and both DNS-OARC resolvers<br>
<br>
Examples:<br>
<br>
_25._<a href="http://tcp.vdlc.nl" target="_blank">tcp.vdlc.nl</a><br>
_25._<a href="http://tcp.mail.plexx.eu" target="_blank">tcp.mail.plexx.eu</a><br>
_25._<a href="http://tcp.relay01.tt-mb.nl" target="_blank">tcp.relay01.tt-mb.nl</a><br>
_25._<a href="http://tcp.mail.cdv.cz" target="_blank">tcp.mail.cdv.cz</a><br>
<br>
Sometimes DNSVIZ shows errors in the NSEC chaining (i.e. on the <a href="http://tt-mb.nl" target="_blank">tt-mb.nl</a><br>
zone), but for example the <a href="http://mail.cdv.cz" target="_blank">mail.cdv.cz</a> one looks fine. Yet I cannot<br>
validate the response.<br></blockquote><div><br></div><div>DNSViz was incorrectly showing the NSEC covering as valid for some of the above wildcards.  It was checking that expanded wildcard name did not exist, but was not checking that the wildcard expansion was valid.  It has been corrected, e.g.,:<br><br><a href="http://dnsviz.net/d/_25._tcp.vdlc.nl/VEAZDw/dnssec/">http://dnsviz.net/d/_25._tcp.vdlc.nl/VEAZDw/dnssec/</a><br><a href="http://dnsviz.net/d/_25._tcp.mail.cdv.cz/VEAZdw/dnssec/">http://dnsviz.net/d/_25._tcp.mail.cdv.cz/VEAZdw/dnssec/</a><br><br></div><div>Cheers,<br></div></div></div><div class="gmail_extra">Casey<br></div></div>