Willkommen im User-Forum von mailbox.org
 

Mailversand und -empfang wegen DNSSEC-Fehler bei eigener Domain nicht möglich

einuser hat dies geteilt, 6 Monaten her
veröffentlicht

Hallo zusammen,

ich verwende eine eigene Domain die über DNSSEC abgesichert war. Ursprünglich war alles auch korrekt und hat funktioniert. Seit wenigen Tagen hatte ich DNS-Konfigurationsprobleme, DNSSEC war also wenige Tage fehlerhaft eingerichtet. Daher konnte ich seitdem im Webmailer keine Mails mehr verschicken, es kam folgende Meldung: "Die Nachricht konnte nicht gesendet werden. Fehlermeldung vom Mail-Transportserver: 450 - 450 4.1.8 <mail@example.org>: Sender address rejected: Domain not found". Auch der Empfang über die eigene Domain war nicht mehr möglich. Leider konnten die Konfigurationsprobleme nicht gelöst werden. Daher wurde vor über 3 Stunden DNSSEC komplett deaktiviert. Auf dnsviz.net sind keine Fehler bei meiner Domain mehr ersichtlich.

Kennt sich jemand zufälliger Weise aus, ob sich das Verhalten (kein Mailsversand und -empfang möglich) nun da DNSSEC deaktiviert ist von selbst löst, oder ob ich den Support anschreiben sollte?

Kommentare (2)

Foto
1

Welche Fehlermeldung bekommst du, wenn du von einem externen Account eine E-Mail sendest? Wird in den Mailbox.org Einstellungen (E-Mail Aliases) ein Fehler angezeigt?

Foto
1

Die Fehlermeldung einer Mail von extern war: "Recipient address rejected: Domain not found (in reply to RCPT TO command)". Allerdings war das die Zeit, als DNSSEC der Domain fehlerhaft konfiguriert war. Nun ist DNSSEC deaktiviert, Mails werden trotzdem nicht zugestellt, eine Fehlermeldung kommt derzeit noch nicht, da Mailserver ja in der Regel teilweise 24 Stunden versuchen, die Mail zuzustellen. Wenn der Empfang wieder geht wird der Versand auch wieder gehen, und umgekehrt. Der Versand ist am direktesten zu testen.

Die Aliasse der eigenen Domain habe ich gerade alle gelöscht, und nach aus- und einloggen erneut wieder eingegeben. Die Subdomain mit dem Schlüssel zum Anlegen der eigenen Domain (TXT-Record) wird also akzeptiert. Die Domain ist grundsätzlich von mehreren Geräten und mit mehreren Testtools (heise DNS, mxtoolbox, etc.) auflösbar.

Ich bin mir sicher, dass das Problem mit der fehlerhaften DNSSEC-Config zusammenhing. Jetzt ist DNSSEC wieder komplett deaktiviert, das ist allerdings erst ca. 5 Stunden her .... ich könnte mir vorstellen dass da bei mailbox.org noch was im Cache ist, bin aber etwas ungeduldig, auch wenn es natürlich mein Fehler war.

Foto
Foto
1

So, Nachtrag: Es geht wieder. Ca. 6 Stunden nach der Deaktivierung von DNSSEC klappen Mailversand und -empfang wieder.

Was bleibt an Erfahrung: Eine fehlerhafte DNSSEC-Konfiguration bei der eigenen Domain scheint zur Folge zu haben, dass mailbox.org den Dienst verweigert. Das ist durchaus auch konsequent, da DNSSEC ja ein Sicherheitsfeature ist. Wird DNSSEC wieder komplett deaktiviert, dann scheint es nach einer gewissen Zeit wieder zu funktionieren.

Foto
1

Ein Fehler im DNSSEC hat zur Folge (und *muss* zur Folge haben), dass die Domain im DNS weltweit nicht existent ist. DNSSEC dient dazu sicherzustellen, dass DNS-Ergebnisse stimmen. Bei einem Fehler (=kaputten DNSSEC-Signaturen) *muss* jedes System davon ausgehen, dass der jeweilige Record nicht existiert. Würde man "trotzdem weitermachen", so wäre DNSSEC komplett sinnlos bis könnte nicht funktionieren.

Das ganze hat also nichts mit mailbox.org zu tun oder was wir machen. Wenn die Domain im DNS nicht mehr sichtbar ist, dann ist das global. Durch Caching-Effekte können unterschiedliche Nameserver unterschiedliche Informationsstände haben, so dass sich da ggf. ein diffuses Bild ergibt, aber das ändert nichts an der Grundsache.

Foto
1

Vielen Dank für die klarstellende Info von allerhöchster Stelle :-)

Mir ging es hauptsächlich darum zu erfahren, ob mailbox.org dauerhaft DNSSEC verlangt, sofern einmal DNSSEC verwendet wird. Ich glaube mich daran zu erinnern, dass es bei SSL eine Downgrade-sperre gibt, wurde also einmal SSL verwendet, dann wird dauerhaft SSL verlangt. Das ist bei DNSSEC offenbar nicht der Fall. Es reicht, dass die Domain im DNS wieder korrekt aufgelöst wird, und nach ein paar Stunden geht dann alles wieder.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen