1 votes

Hassu avatar

Quelle est la différence entre une requête pour un enregistrement TXT et une requête pour un enregistrement TXT contre un serveur de noms particulier?

Demandé el 16 de Août, 2023
Quand la question a-t-elle été
72 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

À des fins de mise en œuvre d'un serveur de messagerie électronique, je souhaite pouvoir consulter l'enregistrement DKIM d'un domaine. Quelle est la différence entre ces deux ensembles de requêtes DNS ? Lequel devrais-je choisir pour mettre en œuvre mon serveur de messagerie électronique et pourquoi ? Approche 1

> nslookup -q=txt m1._domainkey.amazon.com
Serveur :     10.0.11.162
Adresse :    10.0.11.162#53

Réponse non autorisée :
m1._domainkey.amazon.com    texte = "v=DKIM1\;k=rsa\;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDAiSCfuVglLVcKGSFDAPmf1fg/bwnQkgxVkLdTIc1pIOS/K88Pl7p16oS0SW/h2reFQw0QzTEdCNxeXFLXvuoQbwp5lIn5dObz08zRKO3Fc8EOOCrpMq88MARY7glZPsb4l2DnJqwBtqGI1etN2trLbucmzSS9V89VQKmo0jiU7wIDAQAB"

Approche 2

> nslookup -q=ns amazon.com
Serveur :     10.0.11.162
Adresse :    10.0.11.162#53

Réponse non autorisée :
amazon.com  serveur de noms = ns1.amzndns.net.
amazon.com  serveur de noms = ns2.amzndns.org.
amazon.com  serveur de noms = ns2.amzndns.co.uk.
amazon.com  serveur de noms = ns1.amzndns.org.
amazon.com  serveur de noms = ns2.amzndns.com.
amazon.com  serveur de noms = ns2.amzndns.net.
amazon.com  serveur de noms = ns1.amzndns.co.uk.
amazon.com  serveur de noms = ns1.amzndns.com.

Des réponses autorisées peuvent être trouvées à partir de :

> nslookup -q=txt m1._domainkey.amazon.com ns1.amzndns.net
Serveur :     ns1.amzndns.net
Adresse :    156.154.65.10#53

m1._domainkey.amazon.com    texte = "v=DKIM1\;k=rsa\;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDAiSCfuVglLVcKGSFDAPmf1fg/bwnQkgxVkLdTIc1pIOS/K88Pl7p16oS0SW/h2reFQw0QzTEdCNxeXFLXvuoQbwp5lIn5dObz08zRKO3Fc8EOOCrpMq88MARY7glZPsb4l2DnJqwBtqGI1etN2trLbucmzSS9V89VQKmo0jiU7wIDAQAB"

EDIT 1: Je me demande également si je choisis l'approche #2, dois-je interroger chaque serveur de noms ? Que se passe-t-il s'il est manquant sur l'un d'eux ?

Demandé el 16 de Août, 2023 par Hassu

Réponses

Trop de publicités?

3voto

Riccardo Orlando avatar
Riccardo Orlando Points 231

Amazon, afin d'être sûr à toute épreuve, exécute huit copies de son serveur de noms. Le maître semblerait être un autre serveur :

> nslookup -type=SOA amazon.com

Non-authoritative answer:
amazon.com
        serveur de noms primaire = dns-external-master.amazon.com
        adresse e-mail du responsable = root.amazon.com
        série  = 2010176184
        rafraîchissement = 180 (3 mins)
        réessayer   = 60 (1 min)
        expiration  = 3024000 (35 jours)
        TTL par défaut = 60 (1 min)

Nous pouvons donc supposer que tous les huit serveurs de noms spécifiés sont en réalité des répliques du maître spécifié comme le Début de l'Autorité.

Fonctionnellement, il y a peu de différence entre vos deux options. Parce qu'ils sont tous des répliques, il ne devrait pas y avoir de différence sur lequel des huit vous interrogez. Votre première option demande à votre relais DNS local de signaler celui des huit pour lequel il a récemment demandé un enregistrement de domainekey, ou à défaut, en choisir un de manière arbitraire et le signaler. La deuxième option demande à votre DNS local de demander la liste des serveurs de noms, et vous choisissez ensuite l'un d'entre eux vous-même pour lui demander l'enregistrement de domainekey qu'il détient. Au final, vous obtiendrez la même réponse, mais votre première option est bien plus simple à mettre en œuvre pour vous, et fait probablement un meilleur usage de la nature mise en cache des requêtes DNS.

Répondu el 16 de Août, 2023 par Riccardo Orlando (231 Points )

2voto

Keith Langmead avatar
Keith Langmead Points 235

La principale différence entre les deux sera la vitesse. Les deux méthodes accomplissent la même chose, mais la méthode 2) signifierait que pour chaque requête, vous devriez faire une requête DNS externe au serveur de noms autoritaires.

La méthode 1) permettrait à votre serveur DNS local de faire ce pour quoi il est là, par exemple demander au serveur autoritaire le résultat une fois, et puis pour chaque future demande de cette information tant que le TTL de l'enregistrement reste, renvoyer le résultat du cache local, ce qui est BEAUCOUP plus rapide.

En réalité, la différence de temps entre les deux est en millisecondes, probablement à un seul chiffre pour votre serveur DNS local, et à deux chiffres (au moins) pour le serveur autoritaire. Mais si vous recevez des centaines/de milliers de messages d'un domaine particulier par heure, ce qui n'est pas impossible avec certains grands fournisseurs (pensez à gmail.com, amazon.com, etc.), alors cette petite différence de temps peut s'accumuler en retards significatifs. Et étant donné que les enregistrements DKIM que vous récupérez changeront rarement, voire jamais, il y a peu ou pas de bénéfice à tirer de ce retard.

Répondu el 16 de Août, 2023 par Keith Langmead (235 Points )

1voto

Zac67 avatar
Zac67 Points 7920

Les enregistrements DKIM sont généralement disponibles à travers le DNS global. Il n'est pas nécessaire d'interroger un serveur NS autoritaire. Toutes les requêtes devraient donner le même résultat (comme dans votre cas).

Répondu el 16 de Août, 2023 par Zac67 (7920 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X