以前furelo.jpドメインをDNSSECに対応させたが、メール転送がされないメールサーバがあることに気づいた。
転送されないメールサーバはqmailで構築されており、そのqmailのエラーログを見ると、以下ようなDNSが引けないというエラーが出ていた。
[code]
deferral: CNAME_lookup_failed_temporarily._(#4.4.3)/
[/code]
digコマンドでmxを引いても問題なく引け、またIPv6アドレスをMXにしていないので問題ないのにと思っていた。
googleで検索すると、qmailは以下のようなANYタイプでDNSを引いているらしいことがわかった。
[code]
$ dig @dns1.furelo.jp furelo.jp ANY +noall +answer
;; Truncated, retrying in TCP mode.
; <<>> DiG 9.7.2-P3 <<>> @dns1.furelo.jp furelo.jp ANY +noall +answer
; (2 servers found)
;; global options: +cmd
furelo.jp. 3600 IN SOA dns1.furelo.jp. tmaki.furelo.jp. 2011022101 0 300 900 86400
furelo.jp. 3600 IN NS dns1.furelo.jp.
furelo.jp. 3600 IN NS dns2.furelo.jp.
furelo.jp. 3600 IN MX 20 mail.furelo.jp.
furelo.jp. 3600 IN TXT "google-site-verification=tUEEpNgMQUbnOEBKcJ0z3oX37FtLaCWMjtP_-OJxax0"
furelo.jp. 3600 IN TXT "v=spf1 a mx -all"
furelo.jp. 86400 IN DNSKEY 257 3 8 AwEAAcE4YUHSmVQqFtMa0XxS8dqy4sMLIaZmiLidzOejwajwYNNEKO8m 9EB1Pzjrme/Gco8BjhZ2A+GarhSaT7Fs2H0Z93pLO3CQ9ScpNVzTDKuX o7G/eA8JJFFMqJwxrhVDrvTZs0rGhFVJE+jYvJgJA9J8hYJppcwHiX2f 7/Xtx0NW+5Bc3/Fk5CdPX2lfkmVa3g2eeH+NbTCwJq4Ky1ERdM2thdHS eg/Ia9ZLmtQHc+6EjM9mapHAWq/dNIPw/PQK+vN7gsQUldtP8mrslsRo AEkzM8wr7UJXII9RitKvoXKm3MoYA56ppiKqEfj4KovtBNtltGfiUvIE ZpK5SNyWdTM=
furelo.jp. 86400 IN DNSKEY 256 3 8 AwEAAeehfViBaakd7ron8kkuaNOIOAKD+skjyLwRG1uOLoST2urf/k1h SWj9yzHShZKruVyTXSmo9lxyjg2yW6ZTyy8lzxeMUbA5eYGgqeAsuxVj IZj95Y1EjBJES00wPtP8b3OGB/oUSn0FJe31YcR81+Ed+r/ndhj1ZVf5 rSbGvSU3
furelo.jp. 86400 IN DNSKEY 256 3 8 AwEAAdOJi9b2YeaRA+IdLcHjFgKwcu+qnBqOAW4Usi49UJOIr73/zq3H vDcenH/uEJclIJSwn6smxLzZk0GOXz2laa42EU9Af2ZD2wc+4otBOlh9 DNXJ/thDkxGPjgFyXswcN3kVtyyQIj9xYMelBEG8ODagAvR0UQSbuxiw CNL0+Giz
[/code]
DNSSEC関連のレコードが追加され、見事に512byteUDPパケット問題に引っかかっていた。
なお、DNSキャッシュサーバ(pdns-recursor)に対し、ANYタイプを引いてもDNSSECのレコードは出てこない。
[code]
$ dig @localhost furelo.jp ANY +noall +answer
; <<>> DiG 9.7.2-P3 <<>> @localhost furelo.jp ANY +noall +answer
; (1 server found)
;; global options: +cmd
furelo.jp. 76119 IN NS dns2.furelo.jp.
furelo.jp. 76119 IN NS dns1.furelo.jp.
[/code]
ここで問題なのが、以下の2点
1.jpドメインがDNSSEC対応したことで、順次DNSSEC対応のメールサーバが増えていくこと
2.メールがなぜ届かないのか原因が分かりにくいこと
パッチがあたっていないqmailでメーリングリストを運用している場合など、特に問題となる。
512ByteUDPパケット問題は、IPv6のときに表面化すると思っていたが、それ以前にDNSSEC対応で問題となっていた。