
<div dir="ltr">

<div>Update:</div><div><br></div><div>Some more digging, this appears to

 be an issue with a border security appliance that is displeased in some

 way with the AD bit value in a query, and some intersection with the 

response received.  We've opened a ticket with the vendor, they are 

researching now.  Still uncertain why this manifested when it did, as no

 code or configuration changes occurred within any of the observed TTL 

windows for affected domains.  Issues with other domains resolved 

automagically when we deactivated this control, and our recursive 

servers resumed operating to spec.  Unfortunately I cannot share 

additional actionable detail for other operators to analyze.</div><div><br></div><div>Thank you again for your time and consideration,</div><div>Chad D</div>


</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Nov 13, 2024 at 2:55 AM Viktor Dukhovni <<a href="mailto:ietf-dane@dukhovni.org">ietf-dane@dukhovni.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, Nov 12, 2024 at 04:53:06PM -0600, Chad Dailey wrote:<br>

<br>

> Thank you for your analysis, much appreciated.  I've got more homework to<br>

> do, to determine why breakage started, apparently spontaneously.  We<br>

> performed no service changes during the interval where the problem began to<br>

> manifest.<br>

<br>

Please share any findings you'll be at liberty to share, if there's a<br>

fair chance that others might run into the same problem.  If they're<br>

more email-specific, than DNS-specific, then on [mailop], otherwise<br>

perhaps here or both lists as appropriate.<br>

<br>

The kind folks at SIDN already reported that there's a DANE-enabled MTA<br>

that did not implement the robustness advice in RFC7672 and did run into<br>

issues delivering to outlook.com-hosted domains.  I don't know what MTA<br>

or outbound service you're using, but if it supports DANE, and does not<br>

(as suggested in RFC7672) suppress TLSA lookups for MX hosts on insecure<br>

IPs, then that could be the problem.  But it is still surprising why<br>

that would suddenly show now, and not at any time in the prior 10+<br>

years.<br>

<br>

-- <br>

    Viktor.<br>

_______________________________________________<br>

dns-operations mailing list<br>

<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>

<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>

</blockquote></div>