<div dir="ltr"><div>@Bagas. Please don't suggest "forward first". If you're going to forward, forward. If not, don't.</div><div><br></div><div>@Vahid. I would suggest removing your global forwarding completely, allowing BIND to recurse, as it should. Why did you add a global forwarder in the first place?</div><div><br></div><div>Cheers, Greg</div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Thu, 5 Mar 2026 at 14:37, Bagas Sanjaya <<a href="mailto:bagasdotme@gmail.com">bagasdotme@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, Mar 05, 2026 at 09:06:56AM +0000, Vahid Shaik wrote:<br>
> Hi,<br>
> <br>
> I'm running BIND 9.18 as a caching resolver with DNSSEC validation enabled. When I configure forwarders to point at my ISP's DNS, some DNSSEC-signed domains return SERVFAIL even though they validate fine when querying root servers directly.<br>
> <br>
> My named.conf has:<br>
> <br>
>   options {<br>
>       dnssec-validation auto;<br>
>       forwarders { 192.168.1.1; };<br>
>       forward only;<br>
>   };<br>
<br>
I see that your forwarder is defined somewhere else (maybe your router?).<br>
<br>
> <br>
> Domains like <a href="http://cloudflare.com" rel="noreferrer" target="_blank">cloudflare.com</a> and <a href="http://google.com" rel="noreferrer" target="_blank">google.com</a> resolve fine, but a few smaller domains with DS records at the parent return SERVFAIL. If I remove the forwarders block and let BIND do full recursion, same domains resolve perfectly.<br>
<br>
What domains you have problems with your forwarder?<br>
<br>
> <br>
> My guess is the ISP's resolver is stripping or mangling the DNSSEC RRSIGs before forwarding back to me, so BIND can't validate the chain. But I'm not sure how to confirm this without manually digging through the chain.<br>
> <br>
> I've been cross-checking results using <a href="https://dnsrobot.net/dns-lookup" rel="noreferrer" target="_blank">https://dnsrobot.net/dns-lookup</a> to query different public resolvers and compare whether they return the RRSIG records. Helps narrow down if it's my forwarder dropping them or if the zone itself has issues.<br>
> <br>
> Is there a way to tell BIND to fall back to full recursion when forwarded DNSSEC validation fails? Or should I just stop using forwarders entirely for a validating resolver?<br>
<br>
forward first;<br>
<br>
Thanks.<br>
<br>
-- <br>
An old man doll... just what I always wanted! - Clara<br>
-- <br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list.<br>
</blockquote></div>