Hi,
ich habe ein kurioses Problem mit unbound als caching recursive DNS Resolver. Den hatte ich vor einer ganzen Weile installiert damit die DNSBL/WL Lookups vom postscreen/spamassassin nicht immer in die Query-Limits laufen. Das funktioniert auch ziemlich gut, aber heute habe ich ein interessantes Problem gefunden bei dem ich nicht weiter weiß:
Und zwar gibt es eine bestimmte IP für die der unbound kein Ergebnis findet. Da rennt unbound entweder in einen Timeout oder es fehlt die wichtige Zeile mit dem PTR im Ergebnis woraufhin die Mail abgewiesen wird. Das ganze hat nicht mal mit DNSBL/WL zu tun, sondern einfach nur mit dem Reverse Lookup für die sendende IP. Ohne den "Umweg" über unbound wird der Reverse Hostname nämlich ohne Probleme gefunden. Und so wie ich das sehe ist das auch bisher die einzige IP bei der das jemals passiert ist:
So ist die Ausgabe von dig -x ohne unbound (habe als Kommentar die Zeile markiert die bei Verwendung von unbound fehlt)
Ich bin absolut planlos warum das (vermutlich) nur bei dieser IP passiert, denn wenn das Problem öfter bestünde, müssten ja jede Menge Mails wegen fehlendem Reverse Hostname abgewiesen werden. Ich vermute eine Fehlkonfiguration von unbound, finde aber nicht welche das sein könnte. Hat jemand eine Idee?
unbound config:
/etc/resolv.conf:
ich habe ein kurioses Problem mit unbound als caching recursive DNS Resolver. Den hatte ich vor einer ganzen Weile installiert damit die DNSBL/WL Lookups vom postscreen/spamassassin nicht immer in die Query-Limits laufen. Das funktioniert auch ziemlich gut, aber heute habe ich ein interessantes Problem gefunden bei dem ich nicht weiter weiß:
Und zwar gibt es eine bestimmte IP für die der unbound kein Ergebnis findet. Da rennt unbound entweder in einen Timeout oder es fehlt die wichtige Zeile mit dem PTR im Ergebnis woraufhin die Mail abgewiesen wird. Das ganze hat nicht mal mit DNSBL/WL zu tun, sondern einfach nur mit dem Reverse Lookup für die sendende IP. Ohne den "Umweg" über unbound wird der Reverse Hostname nämlich ohne Probleme gefunden. Und so wie ich das sehe ist das auch bisher die einzige IP bei der das jemals passiert ist:
So ist die Ausgabe von dig -x ohne unbound (habe als Kommentar die Zeile markiert die bei Verwendung von unbound fehlt)
Code:
$ dig -x 209.51.188.41
; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> -x 209.51.188.41
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5731
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;41.188.51.209.in-addr.arpa. IN PTR
;; ANSWER SECTION:
41.188.51.209.in-addr.arpa. 43112 IN CNAME 41.0-24.188.51.209.in-addr.arpa.
#
# Mit unbound fehlt diese Zeile:
#
41.0-24.188.51.209.in-addr.arpa. 1713 IN PTR bluemchen.kde.org.
;; Query time: 3 msec
;; SERVER: 9.9.9.9#53(9.9.9.9) (UDP)
;; WHEN: Wed Oct 01 19:50:53 CEST 2025
;; MSG SIZE rcvd: 108Ich bin absolut planlos warum das (vermutlich) nur bei dieser IP passiert, denn wenn das Problem öfter bestünde, müssten ja jede Menge Mails wegen fehlendem Reverse Hostname abgewiesen werden. Ich vermute eine Fehlkonfiguration von unbound, finde aber nicht welche das sein könnte. Hat jemand eine Idee?
unbound config:
Code:
$ cat /etc/unbound/unbound.conf
# Unbound configuration file for Debian.
#
# See the unbound.conf(5) man page.
#
# See /usr/share/doc/unbound/examples/unbound.conf for a commented
# reference config file.
#
# The following line includes additional configuration files from the
# /etc/unbound/unbound.conf.d directory.
include-toplevel: "/etc/unbound/unbound.conf.d/*.conf"
#Adding DNS-Over-TLS support
server:
use-syslog: no
logfile: "/var/log/unbound/unbound.log"
username: "unbound"
directory: "/etc/unbound"
tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
do-ip6: yes
do-ip4: yes
interface: 127.0.0.1
interface: ::1
port: 53
prefetch: yes
cache-max-ttl: 14400
cache-min-ttl: 1200
aggressive-nsec: yes
hide-identity: yes
hide-version: yes
use-caps-for-id: yes
private-address: 127.0.0.1/32
private-address: ::1
#control which clients are allowed to make (recursive) queries
access-control: 127.0.0.1/32 allow
access-control: ::1/128 allow
num-threads: 4
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 256m
msg-cache-size: 128m
so-rcvbuf: 8m
root-hints: "/etc/unbound/root.hints"
# forward-zone:
# name: "."
# forward-addr: 1.1.1.1
# forward-addr: 9.9.9.9/etc/resolv.conf:
Code:
$ cat /etc/resolv.conf
#nameserver 9.9.9.9
#nameserver 213.136.95.10
#nameserver 79.143.183.251
# wenn nur die hier aktiv sind wird nur unbound verwendet
nameserver 127.0.0.1
nameserver ::1
Last edited: