Bedingte Weiterleitung konfigurieren

[Heldbock]

Hallo zusammen,

ich habe eine Problem im DNS und weiß derzeit nicht, wie ich es lösen kann.

Ich habe eine Domain domain.de im internen DNS konfiguriert (= AD-Domäne). Zusätzlich ist diese Domain auch extern konfiguriert.
Nun habe ich extern DKIM TXT-Records für dkim._domainkey.domain.de in der externen DNS-Zone konfiguriert.

Jetzt muss ich diesen Namen aber auch intern auflösen können, allerdings mit dem externen Wert. Also kann ich den TXT-Record nicht einfach zusätzlich intern anlegen, sondern brauche den externen Wert. Und die Anfrage wird nicht nach extern weitergeleitet, weil die Zone ja intern existiert.

Eine bedingte Weiterleitung kann ich nicht anlegen für _domainkey.domain.de, da bekomme ich die aussagekräftige Fehlermeldung:
"Fehler beim Versuch, die bedingte Weiterleitung hinzuzufügen. In der Zonenkonfiguration ist ein Fehler aufgetreten."

Hat jemand eine Idee, wie ich dieses Scenario abbilden kann?

Heldbock

 

[Thunderbyte]

Ich bin mit jetzt nicht sicher, ob ich das richtig verstanden habe und ich bin da auch definitiv kein Experte.

Du hast ja intern vermutlich nen DHCP Server. Wenn Du auch nen internen DNS Server hast, kannst Du doch diesen Eintrag für alle internen Geräte, die diesen DNS Server über den DHCP gepusht bekommen, setzen?

Ansonsten ist der DKIM doch eher für die externen Leute relevant, die überprüfen können sollen, ob die Mail von domain.de vom richtigen Mailserver kommt.

 

[danton]

Jetzt muss ich diesen Namen aber auch intern auflösen können, allerdings mit dem externen Wert. Also kann ich den TXT-Record nicht einfach zusätzlich intern anlegen, sondern brauche den externen Wert.

Doch, du legst auf deinem internen DNS-Server den gleichen TXT-Record an und nimmst trägst als Wert exakt das gleiche ein, was du auch extern eingetragen hast. Warum soll das nicht funktionieren?

 

[Thunderbyte]

Ja, was Danton sagt meinte ich.

Z.B. mit dem Windows Server eigenen: https://www.entrust.com/knowledgeba...ns-server-for-entrust-email-validation-method

Oder mit https://www.isc.org/bind/

 

[Heldbock]

Ja, technisch geht das natürlich, aber der interne Server muss den originalen Eintrag, der auch öffentlich sichtbar ist, abfragen.
Und genau das ist mein Problem. Das müsste doch irgendwie möglich sein, oder?

 

[danton]

Der authorative Nameserver wird Records innerhalb seiner Zone niemals bei einem anderen Server anfragen, dafür ist er ja der authorative Nameserver. Wenn du bei Split-DNS bestimmte Records sowohl intern als auch extern identisch auflösen willst, musst du diese Records halt auf beiden Servern mit den identischen Werten pflegen. Was spricht dagegen?

 

[Heldbock]

Naja der externe Eintrag ist halt der einzig gültige. Und wenn der sich mal ändert (weil man DKIM Schlüssel regelmäßig ändern sollte) und vergessen wird, das intern anzupassen, bekommt der Server einen falschen Eintrag zurück.
Letztlich geht es nur darum, genau diesen Fall auszuschließen. So dass man als Quelle im DNS nur einen "Originaleintrag" hat.

Hab auch schon versucht, dafür eine Delegierung einzutragen, aber das funktioniert auch nicht.

 

[danton]

Naja, ändern sollte man den DNS-Eintrag für DKIM ohnehin nicht. Wenn man den DKIM-Schlüssel ändert, nimmt man einen neuen Selektor und hat damit auch einen neuen TXT-Record im DNS. Der alte bleibt noch für eine gewisse Zeit erhalten, damit die DKIM-Prüfung für ältere Mails weiterhin möglich ist.
Ich habe es selber noch nicht ausprobiert, aber du könntest versuchen, _domainkey.domain.de als eigene Zone auf dem externen Mailserver betreiben und dort die DKIM-Records pflegen und auf dem internen DNS erstellst du diese als Stub oder Forward-Zone, die auf den externen DNS zeigt.

 

[Heldbock]

Der DKIM Eintrag zeigt als CNAME auf eine andere Domain, dessen DKIM-Schlüssel genutzt wird.

Ich habe jetzt halt intern die CNAME Einträge angelegt. Hab gehofft, dass ich das irgendwie umgehen kann und die externen Einträge abfragen kann, aber soll jetzt egal sein.

Danke trotzdem für eure Anregungen!

 

[danton]

Wenn du ohnehin mit einem CNAME arbeitest, erreichst du doch damit jetzt genau das, was du willst. Wenn der TXT-Record in der fremden Domain geändert wird, schlägt die Änderung direkt durch. Wenn sich der Selector ändert, gibt es ja einen neuen TXT-Record in der fremden Domain und du musst ohnehin einen zusätzlichen CNAME anlegen - dann halt auf beiden Servern - bei der von die gewünschten Weiterleitung hättest du du dann auch eine neue Weiterleitung anlegen müssen.

 

[Whistler]

Was Du brauchst sind unterschiedliche DNS-Views - je nachdem ob eine DNS-Anfrage von intern oder extern gestellt wird.
Üblicherweise (aber das ist für Euch jetzt zu spät) legt man die AD-Domäne nicht auf die Firmen-Hauptdomäne, sondern auf einen Unterzweig (z.B. intern.domain.de oder ad.domain.de). So wie Du es jetzt hast mußt Du für einzelne Records entscheiden, ob sie sichtbar sind oder nicht.
Kopieren des _domainkey-Records in den externen DNS ist möglich, aber spätestens wenn Ihr rollende Keys verwendet sehr wartungsintensiv.

 

[Heldbock]

Jo, das AD hab ich so übernommen. Sonst hätte ich da auch was anderes genommen, was nur intern aufgelöst wird. Aber so ist es nun mal.