## page was renamed from DNSSEC/qmail-remoteの問題 ## page was renamed from DNS/DNSSEC/qmail-remoteの問題 ## page was copied from DNS/DNSSEC/2011 DNS/DNSSEC/qmail-remoteの問題について、ここに記述してください。 http://togetter.com/li/126480 DNSSEC 2011 スプリングフォーラム&DNSOPS.JP BOF まとめから ---- どういう意図があるのか、疑いたくなる告知が続いている。 {{{ 「qmail / netqmail における512バイトを超えるDNS応答の不適切な取り扱いについて」 }}} バッファサイズを大きくするだけのパッチを推奨しているのは、表面的にしかとらえていない証拠だ。  症状を一時的に回避するだけだ。  いわゆる「2000年問題」を回避するためにとられたパッチが爆弾をかかえているのと同類だ。 qmail を保守せずに使っているISPに警告するためというのが一番好意的解釈だ。 ---- == 説明 == * qmail が直接DNS query を送りだしているのではない。つまり、パケットサイズの問題ではない。   リゾルバが使っているキャッシュサーバの応答による。 * 512バイトかどうかはOSによる。 * EDNS0 がまともに使えない環境のことには触れていない。 * なぜqmailがany type query を送るかにはまったく触れていない。    MXとcnameの扱いについてのBIND(4)の不良を回避するため。 * DNSSECがこの問題を引き起こしたわけではない。 * リゾルバーから512(?)バイトを越える返答をもらったときのqmailの振る舞いには問題がある。 ---- 上記の問題は2002年ころには指摘されていたらしい。筆者の周辺でも2008年に発生し、警告をだした。 == 対策 == このサイトととしては、qmailを使いつづけるなら、まずは  any query をやめて、CNAME query にするパッチを推奨する。 http://homepages.tesco.net./~J.deBoynePollard/Softwares/qmail/#any-to-cname これなら、DNSSECからみで大きな返事がくることはない。 :-) ただし、他の理由で512バイトを越えるかもしれない。 バッファサイズを上限の65536バイトにするのがよい。 -- ToshinoriMaeno <>