On Thu, Apr 22, 2010 at 11:17 AM, Nate Itkin <span dir="ltr"><<a href="mailto:bind-users@konadogs.net">bind-users@konadogs.net</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
Not specifically, but I log a lot of errors resolving in <a href="http://usps.gov" target="_blank">usps.gov</a>. USPS<br>
clearly has configuration issues.  A representative sample from my logs:<br>
<br>
19-Apr-2010 11:04:23.072 lame-servers: no valid RRSIG resolving '<a href="http://EGQ1REIRR8NVE4U6I97RO3PC2CRUU1A5.usps.gov/DS/IN" target="_blank">EGQ1REIRR8NVE4U6I97RO3PC2CRUU1A5.usps.gov/DS/IN</a>': 56.0.82.25#53<br>

19-Apr-2010 11:04:24.099 lame-servers: no valid RRSIG resolving '<a href="http://samtcatwe0d3.usps.gov/DS/IN" target="_blank">samtcatwe0d3.usps.gov/DS/IN</a>': 56.0.82.25#53<br>
19-Apr-2010 11:04:24.890 lame-servers: no valid DS resolving '<a href="http://samtcatwe0d3.usps.gov/AAAA/IN" target="_blank">samtcatwe0d3.usps.gov/AAAA/IN</a>': 56.0.100.25#53<br>
19-Apr-2010 11:04:27.975 lame-servers: no valid NSEC resolving '<a href="http://samtcatwe0d3.usps.gov/MX/IN" target="_blank">samtcatwe0d3.usps.gov/MX/IN</a>': 56.0.100.25#53<br>
<br></blockquote><div><br>The <a href="http://usps.gov">usps.gov</a> servers are not returning all the appropriate RRSIGs to cover the NSEC3 RRs returned for denial of existence.  This is consistent with all their servers.<br>
<br>$ dig @<a href="http://dns100.usps.com">dns100.usps.com</a> +dnssec <a href="http://usps.gov">usps.gov</a> aaaa<br><br>; <<>> DiG 9.6.1-P3 <<>> @<a href="http://dns100.usps.com">dns100.usps.com</a> +dnssec <a href="http://usps.gov">usps.gov</a> cname<br>
; (1 server found)<br>;; global options: +cmd<br>;; Got answer:<br>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40506<br>;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 1<br>;; WARNING: recursion requested but not available<br>
<br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags: do; udp: 4096<br>;; QUESTION SECTION:<br>;<a href="http://usps.gov">usps.gov</a>.                      IN      CNAME<br><br>;; AUTHORITY SECTION:<br><a href="http://usps.gov">usps.gov</a>.               1800    IN      SOA     <a href="http://dns141.usps.com">dns141.usps.com</a>. <a href="http://domainadmin.imail.usps.gov">domainadmin.imail.usps.gov</a>. 285717992 3600 1800 1209600 1800<br>
<a href="http://usps.gov">usps.gov</a>.               1800    IN      RRSIG   SOA 7 2 3600 20100502025431 20100422015431 43133 <a href="http://usps.gov">usps.gov</a>. grQ5+JGDwezIsv2g5jAEXARLnW/leCieA/13Uxt8zZVZmUlozObsxHEo r3NuB1cF9MOg1NppkJbwKswC4AFg1lT9RZ3hAVEvFL4clLzgFYUlEmpN 3hdqJ+1ZO05zramz9loaP1TWcJPSUtLosFQaD4OuJHimxCxmMk0Qnke5 EAs=<br>
<a href="http://EGQ1REIRR8NVE4U6I97RO3PC2CRUU1A5.usps.gov">EGQ1REIRR8NVE4U6I97RO3PC2CRUU1A5.usps.gov</a>. 1800 IN NSEC3 1 0 100 - EHU10MMN93MNBII1G8R5MUSB0EKKKFPK NS SOA MX TXT RRSIG DNSKEY NSEC3PARAM TYPE65534<br><br>Casey<br>
</div></div>