<div dir="ltr"><div>Thank you, I'll report back the result</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Aug 18, 2021 at 10:49 AM Mark Andrews <<a href="mailto:marka@isc.org">marka@isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
> On 18 Aug 2021, at 10:23, Edwardo Garcia <<a href="mailto:wdgarc88@gmail.com" target="_blank">wdgarc88@gmail.com</a>> wrote:<br>
> <br>
> Hola Mark,<br>
> <br>
> Thank you, so to be clear, what is mean to delegate zone, the black zone? I am not dns expert unfortunately<br>
<br>
Yes, create a seperate zone for <a href="http://black.example.net" rel="noreferrer" target="_blank">black.example.net</a>.<br>
<br>
In <a href="http://example.net" rel="noreferrer" target="_blank">example.net</a> you add NS records for <a href="http://black.example.net" rel="noreferrer" target="_blank">black.example.net</a>.  They can use the<br>
same nameservers as for <a href="http://example.net" rel="noreferrer" target="_blank">example.net</a>.<br>
<br>
<a href="http://black.example.net" rel="noreferrer" target="_blank">black.example.net</a>. NS some.name.server.<br>
<a href="http://black.example.net" rel="noreferrer" target="_blank">black.example.net</a>. NS some-other.name.server<br>
<br>
you will end up with 2 zone clauses.  Apart from the obvious name differences<br>
you won’t add the instructions to sign <a href="http://black.example.net" rel="noreferrer" target="_blank">black.example.net</a> to its stanza.<br>
<br>
zone <a href="http://example.net" rel="noreferrer" target="_blank">example.net</a> {<br>
        type primary;<br>
        file “example.net.db”;<br>
        ...<br>
};<br>
<br>
zone <a href="http://black.example.net" rel="noreferrer" target="_blank">black.example.net</a> {<br>
        type primary;<br>
        file “black.example.net.db”;<br>
        ...<br>
};<br>
<br>
The top of black.example.net.db has an SOA record and the same NS records<br>
as you put in the parent zone for it.  The two sets of NS records are<br>
supposed to be the same.<br>
<br>
Mark<br>
<br>
> On Wed, Aug 18, 2021 at 6:23 AM Mark Andrews <<a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a>> wrote:<br>
> Delegate the zone. Do NOT add a DS for it.<br>
> <br>
> -- <br>
> Mark Andrews<br>
> <br>
>> On 17 Aug 2021, at 23:47, Edwardo Garcia <<a href="mailto:wdgarc88@gmail.com" target="_blank">wdgarc88@gmail.com</a>> wrote:<br>
>> <br>
>> <br>
>> Hola<br>
>> <br>
>> We have dnssec working for long time but need now to have a subdomain excluded, we are going to be use it to replace an internal blacklist, we have 14 smtp servers and it is cumbersome to keep in sync.<br>
>> <br>
>> So we have <a href="http://example.net" rel="noreferrer" target="_blank">example.net</a> signed,<br>
>> but we want <a href="http://black.example.net" rel="noreferrer" target="_blank">black.example.net</a>, and of course all addresses under, eg:  <a href="http://4.3.2.1.black.example.net" rel="noreferrer" target="_blank">4.3.2.1.black.example.net</a>  to work, at present of course this presents SERVFAIL because dnssec, obvious "black" needs to be in <a href="http://example.net" rel="noreferrer" target="_blank">example.net</a> zone, nd its dns is ns999 whichwork when dnssec disabled but this is not optimum<br>
>> <br>
>> looking for suggestion or guidance to how we fix this please? Ir this is not possible?<br>
>> <br>
>> _______________________________________________<br>
>> Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
>> <br>
>> ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
>> <br>
>> <br>
>> bind-users mailing list<br>
>> <a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
>> <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
<br>
-- <br>
Mark Andrews, ISC<br>
1 Seymour St., Dundas Valley, NSW 2117, Australia<br>
PHONE: +61 2 9871 4742              INTERNET: <a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a><br>
<br>
</blockquote></div>