Wegen eines Kernel-Updates ist ein reboot der Server nötig. Durch den hier verwendeten Anycast ist der Dienst wie auf https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/ angegeben ohne Unterbrechung nutzbar.
Da das aktuelle (DFN-PKI) Zertifikat am 04.11.2023 ausläuft, werden wir mit diesem Termin das bei DNS over TLS (DoT) verwendete gegen eines via TCS ausgestellte ersetzen. Leider werden wir bei diesem Wechsel die IPv4/IPv6 Adressen im SAN des Zertifikates verlieren, sodass bei bspw. Android - Private DNS die FQDN aus der nachstehenden URL einzutragen sind. https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/
--English Version Below-- Bei einigen, nicht genau zu beziffernden, DNS-Servern (gemeldet wurde z.B. Freenet, Starto aber auch AD aus dem Servehosting) gab oder gibt es noch Probleme die IPv4-/IPv6-Adresse von mail.rwth-aachen.de aufzulösen. Dies betrifft neben dem Abrufen der E-Mails über den OWA bzw. lokalen E-Mail-Client auch das Versenden von E-Mails. Für Letzteres ist folgender Eintrag relevant, der im Zuge von "Microsoft Exchange Server Spoofing Vulnerability" implementiert wurde: download.mail.rwth-aachen.de. IN CNAME mail.rwth-aachen.de. --English Version-- Some DNS servers (e.g. Freenet, Starto, but also AD from Servehosting), which cannot be quantified exactly, had or still have problems resolving the IPv4/IPv6 address of mail.rwth-aachen.de. This affects not only retrieving e-mails via OWA or local e-mail client but also sending e-mails. For the latter, the following entry is relevant, which was implemented in the course of "Microsoft Exchange Server Spoofing Vulnerability": download.mail.rwth-aachen.de. IN CNAME mail.rwth-aachen.de.
Da keine Server-Zertifikate (!) mit Browser- und Betriebssystemverankerung (Sicherheitsniveau "Global") der DFN-PKI ausgestellt werden, wurde der bereits im DNS eingetragene CAA record für den Trusted Certificate Services von GÉANT (aktuell Sectigo) als Standard-Zertifizierungsstelle definiert - dadurch ist dieser über den DNS-Admin nicht löschbar bzw. wurde in den Zonen, wo dieser noch nicht eingetragen war, hinzugefügt. Dies betrifft nur neu auszustellende Server-Zertifikate, bereits ausgestellte Zertifikate werden nicht tangiert, auch bestehende Einträge für andere CA wurden beibehalten.