DNSSEC auf dem Resolver ("validierend")

Bei der Einführung von DNSSEC ist die Einrichtung der DNSSEC-Überprüfung auf den eigenen Resolvern der einfachste Vorgang. Dazu müssen keine DNSKEYs erstellt werden oder Zonen regelmäßig signiert werden.

Es ermöglicht aber DNS-Abfragen fremder autotaritiver Nameserver zu validieren und damit den Clients authentizierte Antworten (AD Flag) zu liefern. Ein validierender Nameserver, dem man vertraut, ist die Voraussetzung zur Einrichtung ausgehender DANE-Validierung TLS-verschlüsselter Übertragung zwischen Mailservern.


Hier finden sich Schritt-für-Schritt-Anleitungen zur Einrichtung eines validierenden Resolvers mit gängigen Nameserver-Paketen. Dabei ist es natürlich nur bedingt möglich, auf alle Besonderheiten verschiedener Versionen einzugehen. Daher beschränken sich die Anleitungen auf die gängigsten Versionen, die auf aktuellen Linux-Distributionen unterstützt werden.


Konfiguration mit BIND >9.8

Konfiguration mit Unbound >1.4


Für die Konfiguration von Unbound auf Windows verweisen wir auf ein externes Tutorial:

Konfiguration mit Unbound unter Windows


Die Konfiguration von Windows 2012 Server als validierender Resolver ist in einem Tutorial bei "Men and Mice" beschrieben.