<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <br>

    <div class="moz-cite-prefix">On 02/25/2013 02:00 PM, Casey Deccio

      wrote:<br>

    </div>

    <blockquote

cite="mid:CAEKtLiSLdsWZ8odu6LR+R=-O4sYuSAQVqfnaQMoe8cgyW5vG7Q@mail.gmail.com"

      type="cite">

      <meta http-equiv="Context-Type" content="text/html;

        charset=ISO-8859-1">

      On Mon, Feb 25, 2013 at 5:09 AM, Robert Moskowitz <span dir="ltr"><<a

          moz-do-not-send="true" href="mailto:rgm@htt-consult.com"

          target="_blank">rgm@htt-consult.com</a>></span> wrote:<br>

      <div class="gmail_quote">

        <blockquote class="gmail_quote">

          Yes, I know lots of places don't have DNSSEC signed zones.

           **I** have not done mine yet, but I turned on DNSSEC checking

          on my server and I am getting all too many messages like:<br>

          <br>

                validating @0xb4247b50: 117.in-addr.arpa NSEC: no valid

          signature found: 1 Time(s)<br>

                validating @0xb4247b50: 117.in-addr.arpa SOA: no valid

          signature found: 1 Time(s)<br>

        </blockquote>

        <div><br>

          Yes, but 117.in-addr.arpa *is* signed [1], so if you're not

          getting signatures, that's problematic.<br>

        </div>

      </div>

    </blockquote>

    <br>

    So that is not good.  This is over port 53, right?  I have that open

    for udp and tcp.  My general options section has:<br>

    <br>

        dnssec-enable yes;<br>

        dnssec-validation yes;<br>

        dnssec-lookaside auto;<br>

    <br>

        /* Path to ISC DLV key */<br>

        bindkeys-file "/etc/named.iscdlv.key";<br>

    <br>

        managed-keys-directory "/var/named/dynamic";<br>

    <br>

    <br>

    <blockquote

cite="mid:CAEKtLiSLdsWZ8odu6LR+R=-O4sYuSAQVqfnaQMoe8cgyW5vG7Q@mail.gmail.com"

      type="cite">

      <div class="gmail_quote">

        <blockquote class="gmail_quote">

          How can I stop the logging of only " no valid signature

          found"?  So I can watch for more meaningful events and not so

          quickly grow /var/log/messages?<br>

        </blockquote>

        <div><br>

          Logging can be tuned on a per-category (e.g., DNSSEC) basis,

          including the location to which log messages are sent (e.g.,

          file, syslog, etc.).  See the section on logging in the BIND 9

          Configuration Reference for more information on how to do this

          [2].<br>

        </div>

      </div>

    </blockquote>

    <br>

    thanks I will read this AFTER I find out why I am not getting the

    signature.  Perhaps I should check to see if I am getting any sigs? 

    How might I do that?<br>

    <br>

    <br>

  </body>

</html>