ACME kann nicht nachvollziehbar den Hostnamen einer "mail" Domain nicht auflösen

Wwebp · Sep 18, 2023

Hallo zusammen,

derzeit habe ich folgendes Problem.

Einmal täglich versucht ja der ACME Container neue Zertifikate zu erstellen. Aus welchen Gründen auch immer, kann er völlig wahllos und auch nicht täglich Hostnamen nicht finden.

Im ACME Log ist folgendes zu finden “No A or AAAA record found for hostname mail.XXX.de”

Das Problem lässt sich mehr oder weniger mit “Force renewal” wie unter Advanced SSL - mailcow: dockerized documentation

docs.mailcow.email

Advanced SSL - mailcow: dockerized documentation

None

beschrieben “lösen”.

Meistens kommt es aber vor, dass anschließend die betreffende Domain wieder funktioniert, dafür andere nicht.

Hier noch die meiner Meinung nach wichtigsten Informationen:

als Additional san ist lediglich “mail.*” gesetzt
derzeit sind 16 Domains in Mailcow vorhanden
es handelt sich um einen V-Server von Contabo
der versuch den ip check bzw. den http check zu skippen über die Mailcow config hat nichts gebracht

Hatte von euch schon mal jemand so ein Problem?

Ich habe durch ein Angebot einen Wechsel von Hetzner zu Contabo vorgenommen, bei Hetzner hatte ich nie solche Probleme. Ich kann mir derzeit allerdings nicht vorstellen, warum der “Hostname” völlig random nicht gefunden werden kann und Contabo hier eine entsprechende “schuld” treffen sollte.

Danke vorab!

LG Stephan

esackbauer · Sep 19, 2023

Oh weh Contabo… Man liest hier im Forum nichts gutes darüber.
Interessanter wäre zu wissen wo die DNS records gehostet sind bzw. was das unbound log sagt, das macht ja die Namensauflösung.

Wwebp · Sep 19, 2023

Ich muss bisher tatsächlich sagen, dass ich keine größeren Probleme mit Contabo habe. Bin eigentlich ansonsten ganz zufrieden.

Die DNS Records sind alle bei InternetX gehostet.

Im Syslog habe ich tatsächlich folgendes stehen:

Sep 18 08:18:36 vmd109837 dockerd[4009153]: time="2023-09-18T08:18:36.876045394+02:00" level=error msg="[resolver] failed to query DNS server: 172.22.1.254:53, query: ;182.40.200.218.in-addr.arpa.\tIN\t PTR" error="read udp 172.22.1.253:59112->172.22.1.254:53: i/o timeout" Sep 18 08:18:50 vmd109837 dockerd[4009153]: time="2023-09-18T08:18:50.216495256+02:00" level=error msg="[resolver] failed to query DNS server: 172.22.1.254:53, query: ;mail.XXX.de.\tIN\t A" error="read udp 172.22.1.11:49521->172.22.1.254:53: i/o timeout"

und auch einige dieser Einträge

Sep 18 08:22:13 vmd109837 dockerd[4009153]: time="2023-09-18T08:22:13.498695845+02:00" level=error msg="[resolver] failed to query DNS server: 172.22.1.254:53, query: ;229.70.67.171.in-addr.arpa.\tIN\t PTR" error="read udp 172.22.1.253:44528->172.22.1.254:53: i/o timeout"

esackbauer · Sep 19, 2023

Das ist kein unbound log…

Wwebp · Sep 19, 2023

Sorry, dachte die Meldungen bringen mehr als diese:

unbound[1:0] info: generate keytag query _ta-4f66. NULL IN

Diese wiederholt sich seit dem 09.09. Ansonsten sind keine Fehler oder ähnliches zu sehen.

Ist hier eventuell das Log Level zu gering?

esackbauer · Sep 20, 2023

Sind forwarding hosts für unbound eingetragen? Hoffentlich nicht.
Using an external DNS service - mailcow: dockerized documentation

docs.mailcow.email

Using an external DNS service - mailcow: dockerized documentation

None

Wwebp · Sep 20, 2023

Nein, es sind keine forwarding hosts eingetragen. Die unbound.conf ist auch unbearbeitet und wurde noch nie angefasst.

Würde es sinn machen, einen qualifizierten Host einzutragen? Kann es sein, dass standardmäßig der Contabo DNS verwendet wird und dadurch diese Probleme auftauchen?