• Geschlossen

Reason: 550-5.1.0 - Unable to verify MX-Record

Daniel337
Level 1
1 von 20

Hallo zusammen,

 

ich stehe derzeit mit der Swisscom im Clinch. Ich habe einen dedicated Server bei einem Schweizer Hoster gemietet - seit 6 Jahren läuft der einwandfrei. Seit über 2 Wochen werden nun keine E-Mails an bluewin.ch mehr entgegengenommen. Zurück kommt die im Betreff aufgeführte Fehlermeldung. 

 

Alle DNS-Tests ergeben, dass alles fehlerfrei läuft. Auch die Technik aus dem Rechenzentrum bestätigt, dass alles korrekt funktioniert. Es gibt auch keine Probleme mit irgendwelchen anderen E-Mail-Anbietern wie gmx, web.de, Microsoft, etc. E-Mails an swisscom.com funktionieren ebenfalls. 

 

Natürlich werden auch die MX-Records - egal mit welchen Tests - korrekt aufgelöst. 

 

Mit viel Druck über die Servicehotline kam mein Ticket mit höchster Priorität bis zum 3rd-Level-Support der Swisscom. Lapidare Antwort: DNS Server sind fehlerhaft konfiguriert, DNS Server antworten mit ungültigem DNS Client Cookies. Ich solle diese deaktivieren oder korrekt konfigurieren. Die Mitteilung erfolgte natürlich nur über den 1st-Level-Support, und der hatte keine Ahnung, um was es überhaupt geht. Eigentlich war das dann nur noch ein mündliche Weitergabe.

 

Danach hat sich die Technik von meinem Hostingprovider ebenfalls mit der Swisscom auseinandergesetzt. Auch die bekamen genau die gleiche Antwort. Der aktuelle Stand ist nun, dass die Techniker meines Hostingproviders keine weiteren Informationen von der Swisscom mehr bekommen und die Swisscom nur noch mitteilt, dass sie an einer Lösung oder genaueren Informationen zu dem Problem nicht interessiert sind, das Ticket geschlossen wurde. 

 

Auf dem gleichen Server werden viele Kundendomains gehostet und alle haben das gleiche Problem. 

 

Bevor ich morgen einen eingeschriebenen Brief an die Swisscom schicke und danach einen Anwalt beauftrage einmal hier noch die Frage, ob jemand von Euch das gleiche Problem schon mal hatte oder die gleiche Erfahrung mit dem 3rd-Level-Support bei der Swisscom hatte. 

 

Vielen Dank und Grüsse

Daniel

19 Kommentare 19
PowerMac
Super User
2 von 20

Meine (wenigen) Erfahrungen mit dem 3rd-Level von Swisscom waren eigentlich sehr gut. Ist aber auch schon eine Weile her.

Ich denke nicht, dass der Lösungsansatz mit Einschreiben und Anwalt etc. schneller zu einer Lösung führt.

Aber evt. können wir dir bezüglich der Technik weiterhelfen. Um welche Domain geht es denn? Wenn du das nicht öffentlich schreiben willst, schick mir eine PN.

have you tried turning it off and on again?
have you tried turning it off and on again?
Daniel337
Level 1
3 von 20

Da der 3rd-Level-Support der Swisscom sich weigert, weitere Informationen zu geben - sowohl mir wie auch den Techniker des Hostingproviders gegenüber - bleibt mir nur die Variante mit Einschreiben/Anwalt. 

 

Die Domain lautet worldservice.com, betroffen sind aber alle Domains auf dem Server. 

 

Mary Poppins
Level 5
4 von 20

@PowerMac

 

Ich kann dir da nur zustimmen. Aber ich hatte meist mit Kundendienst zu tun und anschliessend wurde meine Anfrage an Technischen Support weitergeleitet. Mit 3rd Level direkt hatte ich selber noch nie was zu tun. Meist hatte ich Generelle Störungen auf dem Webmail, Thunderbirdprobleme, die kostenpflichtig gelöst wurden, Hilfe auf der Swisscom-Seite etc. Dazu brauche ich kein 3rd Level.

 

@Daniel337

Muss in diesen Fall aber auch Swisscom in Schutz nehmen, weil genaugenommen ist keine Bluewin Dienstleistung beeinträchtigt und Host erfolgt nicht über Swisscom.

 

Zwei Fragen:

Was hat die mündliche Weitergabe sonst noch für Infos beinhaltet?

Kommen die Mails tatsächlich bei Swisscom an?

Konnte dir Swisscom dies mit irgendwelchen Logs bestätigen? Irgenwelche Tools hat sicher der tech. Support.

 

Gruss

Mary

Daniel337
Level 1
5 von 20

@Mary Poppins

Du kannst die Swisscom gerne in Schutz nehmen, das bleibt Dir überlassen. Aber:

1. Bluewin ist ein Service der Swisscom

2. Bluewin weisst E-Mails mit Fehlermeldung gemäss Betreff dieses Threads zurück mit einer Fehlermeldung, die nicht stimmt

3. Der 3rd-Level-Support ist nicht in der Lage oder Willens, den Auslöser für diese Fehlermeldung herauszufinden und/oder mitzuteilen

4. Swisscom/Bluewin ist der einzige Dienst, der E-Mails zurückweist. Alle anderen, von Microsoft über Dt. Telekom bis zu GMX, etc. haben das Problem nicht

5. Alle DNS-Tests (online und durch die Server-Techniker im Rechenzentrum bei meinem Hoster) lösen die MX-Records korrekt auf. 

6. Auf der internen Blacklist von Bluewin ist der Server nicht gelistet

Verzeih mir bitte Mary, aber wenn ich Deine Postings so durchsehe bist Du gut im Bereich Client-Einrichtungen, aber ich vermute, Du hast von der Servertechnik nicht so viel Ahnung. Aber ich kann mich täuschen. 

PowerMac
Super User
6 von 20

Sieht nach einem ähnlichen Problem aus wie in diesem Thread aus 2015 bereits diskutiert. Probier doch mal die Tipps aus, die ich dort gegeben habe.

Allerdings das vorliegende Problem nicht genau das gleiche zu sein, da zumindest das damals festgestellte DNS-Verhalten ein anderes ist:

$ dig @8.8.8.8 worldservice.com mx +short
10 mail.worldservice.com.
$ dig @8.8.4.4 worldservice.com mx +short
10 mail.worldservice.com.
$ dig @dns1.bluewin.ch worldservice.com mx +short
10 mail.worldservice.com.
$ dig @dns2.bluewin.ch worldservice.com mx +short
10 mail.worldservice.com.
$ dig @dns3.bluewin.ch worldservice.com mx +short
10 mail.worldservice.com.
$ dig @dns4.bluewin.ch worldservice.com mx +short
10 mail.worldservice.com.
$ dig @dns1.bluewin.ch google.com mx +short
20 alt1.aspmx.l.google.com.
50 alt4.aspmx.l.google.com.
40 alt3.aspmx.l.google.com.
30 alt2.aspmx.l.google.com.
10 aspmx.l.google.com.
$ 

Genaueres werden aber dennoch wohl nur die Techies von Swisscom sagen können. Zumindest soweit ich sehe scheint das DNS von worldservice.com einigermassen OK zu sein. Wobei schon noch Verbesserungspotential besteht.

 

Nachtrag: @MarcelG, hast du noch eine Idee?

have you tried turning it off and on again?
have you tried turning it off and on again?
Editiert
cslu
Level 6
7 von 20

@Daniel337

 

Du bist hier an der richtigen Stelle gelandet. Nicht weil die Community dir in der Sache helfen könnte, sondern weil du hier mit etwas Glück an führende Swisscomicer herankommst, die etwas zu sagen haben und folglich auch etwas bewegen können. Via die "Fusssoldaten" auf dem Hotline-Pfad scheint ja gemäss deinen Angaben alles abgeschmettert worden zu sein.

 

Die Chance dass ein solcher Glücksfall eintrifft, erhöhst du, wenn du @Anonym in deine Anfrage schreibst. Vielleicht lässt er den Fall nochmal anschauen. Dann würde sich wohl herausstellen, wo der Fehler liegt.

Daniel337
Level 1
8 von 20

@PowerMac

Vielen Dank, den Thread hatte ich schon vor meinem Posting genau studiert und in der Tat ist das Verhalten nicht identisch. Auf https://dnschecker.org/#MX/worldservice.com habe ich die Auflösung gegen den dns1.bluewin.ch geprüft und er löst korrekt auf. 

 

@cslu

Vielen Dank. Ich werde ihn direkt kontaktieren 😉

Tux0ne
Level 9
9 von 20

Man könnte als workaround auch mal versuchen die DNS Cookies zu deaktivieren wie es der Support vorschlägt. Nur um zu schauen ob das Problem tatsächlich in dieser Region liegt.

https://kb.isc.org/docs/aa-01387

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
MarcelG
Swisscom
10 von 20

Wie bereits beschrieben geben die DNS Server von worldservice.com Antworten mit fehlerhaften DNS Cookies (siehe Lookup unten direkt auf NS von worldservice.com), was wiederum im Endeffekt zu Timeouts und der gesehenen Fehlermeldung im Mailflow führt.

 

Wie DNS Cookies genau zu konfigurieren oder deaktivieren sind hängt natürlich von der eingesetzten DNS Server Software ab, @Tux0ne hat ja schon mal eine Referenz zur BIND Knowledge Base geliefert. Falls es sich um einen andere DNS Software handelt muss jedoch wohl das Handbuch zu dieser bezüglich EDNS Konfiguration konsultiert werden.

$ dig +norec worldservice.com @ns4.worldservice.com
;; Warning: Client COOKIE mismatch
 
; <<>> DiG 9.12.3 <<>> +norec worldservice.com @ns4.worldservice.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18782
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 58d6a0014161f20078e282000300000054e9a001ad36f200 (bad)
;; QUESTION SECTION:
;worldservice.com. IN A
 
;; ANSWER SECTION:
worldservice.com. 60 IN A 82.220.37.169
 
;; AUTHORITY SECTION:
worldservice.com. 60 IN NS ns5.worldservice.com.
worldservice.com. 60 IN NS ns4.worldservice.com.
 
;; ADDITIONAL SECTION:
ns4.worldservice.com. 60 IN A 82.220.37.169
ns5.worldservice.com. 60 IN A 82.220.37.170
 
;; Query time: 7 msec
;; SERVER: 82.220.37.169#53(82.220.37.169)
;; WHEN: Thu Nov 29 08:53:15 CET 2018
;; MSG SIZE  rcvd: 157

 

Ich bin Swisscom Mitarbeiter und arbeite im Bereich Bluewin E-Mail
Ich bin Swisscom Mitarbeiter und arbeite im Bereich Bluewin E-Mail
gasoo
Level 3
11 von 20

@MarcelG Da warst du wohl schneller 🙂

 

DNS Cookies sind ein neues Feature und man kann das nur mit neuen Tools testen.

 

Hier der Output von dig (Version 9.13.4):

 
;; Warning: Client COOKIE mismatch

 

; <<>> DiG 9.13.4 <<>> @ns4.worldservice.com. worldservice.com MX
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41851
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 4
;; WARNING: recursion requested but not available

 

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 08d268014161f20078e282000300000004e56801ad36f200 (bad)
;; QUESTION SECTION:
;worldservice.com. IN MX

 

;; ANSWER SECTION:
worldservice.com. 60 IN MX 10 mail.worldservice.com.

 

;; AUTHORITY SECTION:
worldservice.com. 60 IN NS ns5.worldservice.com.
worldservice.com. 60 IN NS ns4.worldservice.com.

 

;; ADDITIONAL SECTION:
mail.worldservice.com. 60 IN A 82.220.37.169
ns4.worldservice.com. 60 IN A 82.220.37.169
ns5.worldservice.com. 60 IN A 82.220.37.170

 

;; Query time: 12 msec
;; SERVER: 82.220.37.169#53(82.220.37.169)
;; WHEN: Do Nov 29 09:14:43 CET 2018
;; MSG SIZE rcvd: 178

 

Wie man sehen kann, gibt dig einen Fehler aus (DNS Cookie Mismatch).

Ebenfalls kann man sehen, dass das Cookie vom DNS Server ns4.worldservice.com Fehlerhaft ist (bad).

 

Somit besteht aus meiner Sicht tatsächlich ein Problem bei deinem Hoster.

Editiert
Daniel337
Level 1
12 von 20

@MarcelG 

Interessant, das scheint aber nur bei Euch von der Swisscom so zu sein. Darum lösen auch alle anderen grossen E-Mail-Services korrekt auf:

 

dig worldservice.com @8.8.4.4 Google

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @8.8.4.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45518
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	59	IN	A	82.220.37.169

;; Query time: 110 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Thu Nov 29 09:36:14 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @8.8.8.8 Google

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45639
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	45	IN	A	82.220.37.169

;; Query time: 76 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Nov 29 09:36:14 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @208.67.222.222 OpenDNS

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @208.67.222.222
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60817
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	60	IN	A	82.220.37.169

;; Query time: 118 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Thu Nov 29 09:36:15 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @208.67.220.220 OpenDNS

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @208.67.220.220
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24401
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	60	IN	A	82.220.37.169

;; Query time: 137 msec
;; SERVER: 208.67.220.220#53(208.67.220.220)
;; WHEN: Thu Nov 29 09:36:15 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @4.2.2.1 Level3

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @4.2.2.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24558
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	60	IN	A	82.220.37.169

;; Query time: 133 msec
;; SERVER: 4.2.2.1#53(4.2.2.1)
;; WHEN: Thu Nov 29 09:36:15 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @4.2.2.2 Level3

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @4.2.2.2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22860
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	45	IN	A	82.220.37.169

;; Query time: 1 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Thu Nov 29 09:36:15 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @64.6.64.6 Verisign

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @64.6.64.6
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24229
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	60	IN	A	82.220.37.169

;; Query time: 280 msec
;; SERVER: 64.6.64.6#53(64.6.64.6)
;; WHEN: Thu Nov 29 09:36:15 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @64.6.65.6 Verisign

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @64.6.65.6
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2869
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	45	IN	A	82.220.37.169

;; Query time: 6 msec
;; SERVER: 64.6.65.6#53(64.6.65.6)
;; WHEN: Thu Nov 29 09:36:15 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @216.146.35.35 Dyn

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @216.146.35.35
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11504
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	45	IN	A	82.220.37.169

;; AUTHORITY SECTION:
worldservice.com.	45	IN	NS	ns4.worldservice.com.
worldservice.com.	45	IN	NS	ns5.worldservice.com.

;; ADDITIONAL SECTION:
ns4.worldservice.com.	45	IN	A	82.220.37.169
ns5.worldservice.com.	45	IN	A	82.220.37.170

;; Query time: 6 msec
;; SERVER: 216.146.35.35#53(216.146.35.35)
;; WHEN: Thu Nov 29 09:36:15 UTC 2018
;; MSG SIZE  rcvd: 129

dig worldservice.com @216.146.36.36 Dyn

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @216.146.36.36
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6905
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	60	IN	A	82.220.37.169

;; AUTHORITY SECTION:
worldservice.com.	60	IN	NS	ns4.worldservice.com.
worldservice.com.	60	IN	NS	ns5.worldservice.com.

;; ADDITIONAL SECTION:
ns4.worldservice.com.	60	IN	A	82.220.37.169
ns5.worldservice.com.	60	IN	A	82.220.37.170

;; Query time: 140 msec
;; SERVER: 216.146.36.36#53(216.146.36.36)
;; WHEN: Thu Nov 29 09:36:15 UTC 2018
;; MSG SIZE  rcvd: 129

dig worldservice.com @8.26.56.26 Comodo

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @8.26.56.26
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28694
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	46	IN	A	82.220.37.169

;; AUTHORITY SECTION:
worldservice.com.	46	IN	NS	ns5.worldservice.com.
worldservice.com.	46	IN	NS	ns4.worldservice.com.

;; ADDITIONAL SECTION:
ns4.worldservice.com.	46	IN	A	82.220.37.169
ns5.worldservice.com.	46	IN	A	82.220.37.170

;; Query time: 3 msec
;; SERVER: 8.26.56.26#53(8.26.56.26)
;; WHEN: Thu Nov 29 09:36:15 UTC 2018
;; MSG SIZE  rcvd: 129

dig worldservice.com @8.20.247.20 Comodo

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @8.20.247.20
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45255
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	46	IN	A	82.220.37.169

;; AUTHORITY SECTION:
worldservice.com.	46	IN	NS	ns5.worldservice.com.
worldservice.com.	46	IN	NS	ns4.worldservice.com.

;; ADDITIONAL SECTION:
ns4.worldservice.com.	46	IN	A	82.220.37.169
ns5.worldservice.com.	46	IN	A	82.220.37.170

;; Query time: 2 msec
;; SERVER: 8.20.247.20#53(8.20.247.20)
;; WHEN: Thu Nov 29 09:36:15 UTC 2018
;; MSG SIZE  rcvd: 129

dig worldservice.com @77.88.8.8 Yandex.DNS

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @77.88.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12874
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	60	IN	A	82.220.37.169

;; Query time: 187 msec
;; SERVER: 77.88.8.8#53(77.88.8.8)
;; WHEN: Thu Nov 29 09:36:16 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @77.88.8.1 Yandex.DNS

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @77.88.8.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12155
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	60	IN	A	82.220.37.169

;; Query time: 179 msec
;; SERVER: 77.88.8.1#53(77.88.8.1)
;; WHEN: Thu Nov 29 09:36:16 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @84.200.69.80 DNS.WATCH (DE)

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @84.200.69.80
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37560
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	46	IN	A	82.220.37.169

;; AUTHORITY SECTION:
worldservice.com.	46	IN	NS	ns4.worldservice.com.
worldservice.com.	46	IN	NS	ns5.worldservice.com.

;; ADDITIONAL SECTION:
ns4.worldservice.com.	46	IN	A	82.220.37.169
ns5.worldservice.com.	46	IN	A	82.220.37.170

;; Query time: 109 msec
;; SERVER: 84.200.69.80#53(84.200.69.80)
;; WHEN: Thu Nov 29 09:36:16 UTC 2018
;; MSG SIZE  rcvd: 129

dig worldservice.com @84.200.70.40 DNS.WATCH (DE)

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @84.200.70.40
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47558
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	46	IN	A	82.220.37.169

;; AUTHORITY SECTION:
worldservice.com.	46	IN	NS	ns4.worldservice.com.
worldservice.com.	46	IN	NS	ns5.worldservice.com.

;; ADDITIONAL SECTION:
ns4.worldservice.com.	46	IN	A	82.220.37.169
ns5.worldservice.com.	46	IN	A	82.220.37.170

;; Query time: 88 msec
;; SERVER: 84.200.70.40#53(84.200.70.40)
;; WHEN: Thu Nov 29 09:36:16 UTC 2018
;; MSG SIZE  rcvd: 129

dig worldservice.com @209.244.0.3 Level3 (US)

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @209.244.0.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58740
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	1	IN	A	82.220.37.169

;; Query time: 1 msec
;; SERVER: 209.244.0.3#53(209.244.0.3)
;; WHEN: Thu Nov 29 09:36:16 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @209.244.0.4 Level3 (US)

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @209.244.0.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2934
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	1	IN	A	82.220.37.169

;; Query time: 1 msec
;; SERVER: 209.244.0.4#53(209.244.0.4)
;; WHEN: Thu Nov 29 09:36:16 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @165.87.13.129 AT&T (US)

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @165.87.13.129
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27432
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	46	IN	A	82.220.37.169

;; Query time: 19 msec
;; SERVER: 165.87.13.129#53(165.87.13.129)
;; WHEN: Thu Nov 29 09:36:16 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @168.95.1.1 HiNet (TW)

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @168.95.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11962
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 3072
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	60	IN	A	82.220.37.169

;; Query time: 558 msec
;; SERVER: 168.95.1.1#53(168.95.1.1)
;; WHEN: Thu Nov 29 09:36:17 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @195.129.12.122 UUNET (CH)

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @195.129.12.122
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64946
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1412
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	45	IN	A	82.220.37.169

;; Query time: 83 msec
;; SERVER: 195.129.12.122#53(195.129.12.122)
;; WHEN: Thu Nov 29 09:36:17 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @192.76.144.66 UUNET (DE)

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @192.76.144.66
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11256
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1412
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	46	IN	A	82.220.37.169

;; Query time: 101 msec
;; SERVER: 192.76.144.66#53(192.76.144.66)
;; WHEN: Thu Nov 29 09:36:17 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @158.43.240.3 UUNET (UK)

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @158.43.240.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38846
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1412
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	46	IN	A	82.220.37.169

;; Query time: 73 msec
;; SERVER: 158.43.240.3#53(158.43.240.3)
;; WHEN: Thu Nov 29 09:36:17 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @198.6.100.25 UUNET (US)

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @198.6.100.25
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29870
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	46	IN	A	82.220.37.169

;; Query time: 36 msec
;; SERVER: 198.6.100.25#53(198.6.100.25)
;; WHEN: Thu Nov 29 09:36:17 UTC 2018
;; MSG SIZE  rcvd: 61

dig worldservice.com @1.1.1.1 Cloudflare

; <<>> DiG 9.10.1 <<>> +additional worldservice.com @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20433
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;worldservice.com.		IN	A

;; ANSWER SECTION:
worldservice.com.	46	IN	A	82.220.37.169

;; Query time: 1 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Thu Nov 29 09:36:17 UTC 2018
;; MSG SIZE  rcvd: 61

 

gasoo
Level 3
13 von 20

Alle deine Test sind mit dig Version 9.10.1 gemacht.

DNS Cookies sind aber erst mit Version 9.11 aktiviert worden.

 

Ausserdem muss nicht der Google DNS oder sonst ein Open Resolver angefragt werden, sondern die Nameserver der Domain worldservice.com, denn dort werden DNS Cookies falsch verarbeitet.

Daniel337
Level 1
14 von 20

Zwei ganz einfache Fragen:

1. warum kann jeder, aber wirklich jeder ausser der Swisscom denn sonst alles korrekt auflösen; ohne DNS-Cookie-Fehler? 

2. Warum ist der Swisscom-Support nicht in der Lage, das Problem genau zu definieren und mitzuteilen? Seit nunmehr über 3 Wochen? 

Tux0ne
Level 9
15 von 20

1. EDNS Cookie werden von den grossen DNS Resolver noch nicht weit eingesetzt. https://ednscomp.isc.org/ednscomp

 

2. Keine Ahnung was die Dauer anbelangt. Eventuell würe eine Anfrage bei der Swinog Mailing list schneller gewesen.

Aber die Meldung Reason: 550-5.1.0 - Unable to verify MX-Record + DNS Server antworten mit ungültigem DNS Client Cookies ist eigentlich eine sehr eindeutige Meldung...

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
PowerMac
Super User
16 von 20

Zu 1.: Weil die allermeisten DNS-Server das relativ neue (Mai 2016) Feature DNS-Cookies nicht unterstützen. Grundsätzlich wären die Mailserver von Swisscom sehr wohl in der Lage, den MX-Record aufzulösen. Dabei stellen sie aber fest, dass der DNS-Server, der den aufzulösenden Record liefert, falsch konfiguriert ist. Und gerade dann ist es der Sinn und Zweck der DNS-Cookies, die Antwort als nicht vertrauenswürdig einzustufen bzw. zu verwerfen. Ferner ist es übliche Praxis, dass Mailserver äusserst pingelig überprüfen, ob die Absenderdomain sauber konfiguriert ist und andernfalls die Entgegennahme von Mails verwehren. Zwar kenne ich (noch) keinen anderen Mailserver, der die Konfiguration von DNS-Cookies überprüft, aber grundsätzlich finde ich es begrüssenswert, dass Swisscom da dem Rest voraus ist (auch wenn ich es noch sehr viel mehr begrüssen würde, wenn endlich mal etwas in Richtung DNSSEC laufen würde, aber das ist ein anderes Thema).

Zu 2.: Schon im ersten Post schriebst du: "Lapidare Antwort: DNS Server sind fehlerhaft konfiguriert, DNS Server antworten mit ungültigem DNS Client Cookies. Ich solle diese deaktivieren oder korrekt konfigurieren."

Wenn man das so ans Technikpersonal des Hostingbetreibers meldet, müssten diese sofort verstehen und damit etwas anfangen können. Denn die haben das Feature ja eingeschaltet.

have you tried turning it off and on again?
have you tried turning it off and on again?
Daniel337
Level 1
17 von 20

1. Alle anderen lösen korrekt auf, ich kann es nur wiederholen.

2. Mit Verlaub, selbstverständlich gingen alle Informationen an die Servicetechniker im RZ. Die Servicetechniker im RZ haben auch direkten Kontakt mit dem Support der Swisscom. Resultat: auch diese bekommen keine Auskunft, die für sie Sinn macht. 

gasoo
Level 3
18 von 20

Hier in diesem Test eine andere Domain, da du deine anscheinend auf andere DNS verschoben hast.

Da kannst du genau sehen, dass deine DNS Server falsch konfiguriert sind.

https://ednscomp.isc.org/ednscomp/d8972bc78d

 

Das könnte in Zukunft auch weitere Probleme verursachen, siehe hier:

https://dnsflagday.net/

 

Du kannst jetzt natürlich von Swisscom verlangen, dass sie für deine DNS eine Ausnahme machen, aber das ist dann nur Symptom, und nicht Ursachen bekämpfung.

PowerMac
Super User
19 von 20

1. würde ich es eher so ausdrücken: alle anderen ignorieren die fehlerhafte Konfiguration des DNS deiner Domain. 

2. können auch wir nur wiederholen, dass hier eigentlich absolut genügend Informationen vorliegen, mit denen ein fähiger Techniker im RZ den Fehler erkennen und beheben kann. Wenn dein Hoster ein Leading-Edge-Feature aktiviert, sollte er auch in der Lage sein es sauber zu konfigurieren und zu debuggen. Sonst wechsle den Hoster. 

have you tried turning it off and on again?
have you tried turning it off and on again?
Tux0ne
Level 9
20 von 20

Weiter hat der Server keine Zertifikate für die Kunden und nur TLS 1.0

Der Mail Server hat keinen SPF Record. Weiter hat der SMTP kein TLS um den Transport zwischen den Mail Server zu verschlüsseln und und und.

Also das Hosting erachte ich nicht mehr als state of the art.

Statt mit dem Anwalt herumzufuchteln, mal wieder um aktuelle Technik kümmern.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Editiert
Nach oben