Unbound DNS Resolver bei Postfix

Um die bspw. die Herkunft von EMails zu überprüfen benötigt das Mailsystem einen funktionierenden und im besten Fall schnellen DNS-Resolver. Eine schnelle Namesauflösung bringt also Performance Vorteile für das ganze Mailsystem, sei es im Empfangen oder im Senden. Für den Zugriff auf die DSNBL Spamhaus-Blocklists kann es sogar notwendig sein, seinen eigenen DNS-Resolver zu nutzen, weil z.B. Zugriffe über das Google DNS blockiert werden. Zudem bietet die Unabhängigkeit zu anderen DNS Servern eine höhere (Ausfall)Sicherheit. Deshalb bietet es sich an einen DNS Resolver wie Unbound zu installieren.

Unbound installieren:

apt install unbound

DNSSEC Root Key aktualisieren und Unbound neu laden:

sudo -u unbound unbound-anchor -a /var/lib/unbound/root.key
systemctl reload unbound

Ein dig @127.0.0.1 posteo.de +short +dnssec sollte eine ähnliche Ausgabe wie folgt erzeugen. Sollte dig nicht installiert sein, einfach das dnsutils Paket nachinstallieren.

root@server:~# dig @127.0.0.1 posteo.de +short +dnssec
185.67.36.145
A 8 2 60 20191114000000 20191024000000 23244 posteo.de. 5DLyaRBexu//qR68hrc2P5/GbSlfGU0MxgFMcTsNq/OAhhfBWKrID7yn tX2NZCD6mAeDb9q4wLT1hYqfg0+Avw0LhUJIFrRggbAU5IRHAFs/PSB6 qdim6Tf2VuZjlj9OFP5ooAc41be86tpfkxPCH0MnFkEMvbBUUbYIa0dg eVlFo+jC76hJ2abbeP4DxfRzDAMsLaUOdlwEoajin6XAcYDCJN3nKk0g /Tl2S9VRNQL9LBMrIXLT+0G3uGykKOO0cWL3Hc9u0d5mgEC58JL0E75u C90NtqcwzMX1EBCUxAsOaxMzm9GiCTeJT/Js7srWPRnhUbPVD0P2Xsh0 8kB06A==

Wenn der dig-Befehl funktioniert hat, kann der lokale Resolver als primärer Resolver gesetzt werden:

apt install resolvconf
echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head

zen.spamhaus.org wird nicht aufgelöst: Unbound forward-zone

Manchmal kann es passieren, dass zen.spamhaus.org nicht aufgelöst werden kann. Wer seinen Server bei Hetzner oder OVH betriebt kann sogar Pech haben, dass die IP aus seinem Netz von Spamhaus blockiert wird. Eine mögliche Fehlermeldung im mail.log könnte wie folgt aussehen.

Nov  2 20:13:40 mail postfix/postscreen[6997]: warning: dnsblog reply timeout 10s for zen.spamhaus.org
Nov  2 20:13:50 mail postfix/dnsblog[6999]: warning: dnsblog_query: lookup error for DNS query 104.223.249.226.zen.spamhaus.org: Host or domain name not found. Name service error for name=104.223.249.226.zen.spamhaus.org type=A: Host not found, try again

Eine Lösung ist es eine forward-zone einzurichten und DNS-Anfragen für zen.spamhaus.org an 1.1.1.1 weiterzuleiten. Dafür in /etc/unbound/unbound.conf.d/spamhaus-forward.conf folgendes eintragen und den unbound Service neustarten.

forward-zone:
  name: "zen.spamhaus.org."
  forward-addr: 1.1.1.1
  forward-addr: 1.0.0.1

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.