OpenSSL: when preloading creds do the server certs before the OCSP proofs so that...
[exim.git] / test / dnszones-src / db.test.ex
1 ; This is a testing zone file for use when testing DNS handling in Exim. This
2 ; is a fake zone of no real use. The zone name is
3 ; test.ex. This file is passed through the substitution mechanism before being
4 ; used by the fakens auxiliary program. This inserts the actual IP addresses
5 ; of the local host into the zone.
6
7 ; NOTE (1): apart from ::1, IPv6 addresses must always have 8 components. Do
8 ; not abbreviate them by using the :: feature. Leading zeros in components may,
9 ; however, be omitted.
10
11 ; NOTE (2): the fakens program is very simple and assumes that the buffer into
12 ; which is puts the response is always going to be big enough. In other words,
13 ; the expectation is for just a few RRs for each query.
14
15 ; NOTE (3): the top-level networks for testing addresses are parameterized by
16 ; the use of V4NET and V6NET. These networks should be such that no real
17 ; host ever uses them.
18 ;
19 ; Several prefixes may be used, see the source in src/fakens.c for a complete list
20 ; and description.
21
22 test.ex.     NS      exim.test.ex.
23 test.ex.     SOA     exim.test.ex. hostmaster.exim.test.ex 1430683638 1200 120 604800 3000
24
25 test.ex.     TXT     "A TXT record for test.ex."
26 s/lash       TXT     "A TXT record for s/lash.test.ex."
27
28 cname        CNAME   test.ex.
29
30 ptr          PTR     data.for.ptr.test.ex.
31
32 ; Standard localhost handling
33
34 localhost    A       127.0.0.1
35 localhost    AAAA    ::1
36
37 ; This name exists only if qualified; it is never automatically qualified
38
39 dontqualify  A       V4NET.255.255.254
40
41 ; A host with upper case letters in its canonical name
42
43 UpperCase    A       127.0.0.1
44
45 ; A host with punycoded UTF-8 characters used for its lookup ( mx.π.test.ex )
46
47 mx.xn--1xa         A       V4NET.255.255.255
48
49 ; A non-standard name for localhost
50
51 thishost     A       127.0.0.1
52 localhost4   A       127.0.0.1
53
54 ; A localhost with short TTL
55
56 TTL=2 shorthost A    127.0.0.1
57
58
59 ; Something that gives both the IP and the loopback
60
61 thisloop     A       HOSTIPV4
62              A       127.0.0.1
63
64 ; Something that gives an unreachable IP and the loopback
65
66 badloop      A       V4NET.0.0.1
67              A       127.0.0.1
68
69 ; Another host with both A and AAAA records
70
71 46           A       V4NET.0.0.4
72              AAAA    V6NET:ffff:836f:0a00:000a:0800:200a:c031
73
74 ; And another
75
76 46b          A       V4NET.0.0.5
77              AAAA    V6NET:ffff:836f:0a00:000a:0800:200a:c033
78
79 ; A working IPv4 address and a non-working IPv6 address, with different
80 ; names so they can have different MX values
81
82 46c          AAAA    V6NET:ffff:836f:0a00:000a:0800:200a:c033
83 46d          A       HOSTIPV4
84
85 ; A host with just a non-local IPv6 address
86
87 v6           AAAA    V6NET:ffff:836f:0a00:000a:0800:200a:c032
88
89 ; Alias A and CNAME records for the local host, under the name "eximtesthost"
90 ; Make the A covered by DNSSEC and add a TLSA for it.
91
92 eximtesthost     A       HOSTIPV4
93 alias-eximtesthost CNAME eximtesthost.test.ex.
94
95 ; A bad CNAME
96
97 badcname     CNAME   rhubarb.test.ex.
98
99 ; Test a name containing an underscore
100
101 a_b          A       99.99.99.99
102
103 ; The reverse registration for this name is an empty string
104
105 empty        A       V4NET.255.255.255
106
107 ; Some IPv6 stuff
108
109 eximtesthost.ipv6 AAAA   HOSTIPV6
110 test2.ipv6   AAAA    V6NET:2101:12:1:a00:20ff:fe86:a062
111 test3.ipv6   AAAA    V6NET:1234:5:6:7:8:abc:0d
112
113 ; A case of forward and backward pointers disagreeing
114
115 badA         A       V4NET.99.99.99
116 badB         A       V4NET.99.99.98
117
118 ; A host with multiple names in different (sub) domains
119 ; These are intended to be within test.ex - absence of final dots is deliberate
120
121 x.gov.uk     A       V4NET.99.99.97
122 x.co.uk      A       V4NET.99.99.97
123
124 ; A host, the reverse lookup of whose IP address gives this name plus another
125 ; that does not forward resolve to the same address
126
127 oneback      A       V4NET.99.99.90
128 host1.masq   A       V4NET.90.90.90
129
130 ; Fake hosts are registered in the V4NET.0.0.0 subnet. In the past, the
131 ; 10.0.0.0/8 network was used; hence the names of the hosts.
132
133 ten-1        A       V4NET.0.0.1
134 ten-2        A       V4NET.0.0.2
135 ten-3        A       V4NET.0.0.3
136 ten-3-alias  A       V4NET.0.0.3
137 ten-3xtra    A       V4NET.0.0.3
138 ten-4        A       V4NET.0.0.4
139 ten-5        A       V4NET.0.0.5
140 ten-6        A       V4NET.0.0.6
141 ten-5-6      A       V4NET.0.0.5
142              A       V4NET.0.0.6
143
144 ten-99       A       V4NET.0.0.99
145
146 black-1      A       V4NET.11.12.13
147 black-2      A       V4NET.11.12.14
148
149 myhost       A       V4NET.10.10.10
150 myhost2      A       V4NET.10.10.10
151
152 other1       A       V4NET.12.4.5
153 other2       A       V4NET.12.3.1
154              A       V4NET.12.3.2
155
156 other99      A       V4NET.99.0.1
157
158 testsub.sub  A       V4NET.99.0.3
159
160 ; This one's real name really is recurse.test.ex.test.ex. It is done like
161 ; this for testing host widening, without getting tangled up in qualify issues.
162
163 recurse.test.ex   A  V4NET.99.0.2
164
165 ; a CNAME pointing to a name with both ipv4 and ipv6 A-records
166 ; and one with only ipv4
167
168 cname46      CNAME   localhost
169 cname4       CNAME   thishost
170
171 ; -------- Testing RBL records -------
172
173 ; V4NET.11.12.13 is deliberately not reverse-registered
174
175 TTL=3 13.12.11.V4NET.rbl    A   127.0.0.2
176                       TXT "This is a test blacklisting message"
177 TTL=2 14.12.11.V4NET.rbl A 127.0.0.2
178                       TXT "This is a test blacklisting message"
179 15.12.11.V4NET.rbl    A   127.0.0.2
180                       TXT "This is a very long blacklisting message, continuing for ages and ages and certainly being longer than 128 characters which was a previous limit on the length that Exim was prepared to handle."
181
182 14.12.11.V4NET.rbl2   A   127.0.0.2
183                       TXT "This is a test blacklisting2 message"
184 16.12.11.V4NET.rbl2   A   127.0.0.2
185                       TXT "This is a test blacklisting2 message"
186
187 14.12.11.V4NET.rbl3   A   127.0.0.2
188                       TXT "This is a test blacklisting3 message"
189 15.12.11.V4NET.rbl3   A   127.0.0.3
190                       TXT "This is a very long blacklisting message, continuing for ages and ages and certainly being longer than 128 characters which was a previous limit on the length that Exim was prepared to handle."
191
192 20.12.11.V4NET.rbl4   A   127.0.0.6
193 21.12.11.V4NET.rbl4   A   127.0.0.7
194 22.12.11.V4NET.rbl4   A   127.0.0.128
195                       TXT "This is a test blacklisting4 message"
196
197 22.12.11.V4NET.rbl5   A   127.0.0.1
198                       TXT "This is a test blacklisting5 message"
199
200 1.13.13.V4NET.rbl     CNAME non-exist.test.ex.
201 2.13.13.V4NET.rbl     A   127.0.0.1
202                       A   127.0.0.2
203
204 ; Foolish return values outside 127.0/8
205
206 100.13.13.V4NET.rbl    A   0.0.0.0
207 101.13.13.V4NET.rbl    A   126.255.255.255
208 102.13.13.V4NET.rbl    A   128.0.0.0
209 103.13.13.V4NET.rbl    A   255.255.255.255
210 104.13.13.V4NET.rbl    A   255.255.255.255
211                        A   127.0.0.0
212 105.13.13.V4NET.rbl    A   255.255.255.255
213                        A   255.255.255.254
214
215 ; -------- Testing MX records --------
216
217 mxcased      MX  5  ten-99.TEST.EX.
218
219 ; Points to a host with both A and AAAA
220
221 mx46         MX  46 46.test.ex.
222
223 ; Points to two hosts with both kinds of address, equal precedence
224
225 mx4646       MX  46 46.test.ex.
226              MX  46 46b.test.ex.
227
228 ; Ditto, with a third IPv6 host
229
230 mx46466      MX  46 46.test.ex.
231              MX  46 46b.test.ex.
232              MX  46 v6.test.ex.
233
234 ; This time, change precedence
235
236 mx46466b     MX  46 46.test.ex.
237              MX  47 46b.test.ex.
238              MX  48 v6.test.ex.
239
240 ; Points to a host with a working IPv4 and a non-working IPv6 record
241
242 mx46cd       MX  10 46c.test.ex.
243              MX  11 46d.test.ex.
244
245 ; Two equal precedence pointing to a v4 and a v6 host
246
247 mx246        MX  10 v6.test.ex.
248              MX  10 ten-1.test.ex.
249
250 ; Lowest-numbered points to local host
251
252 mxt1         MX  5  eximtesthost.test.ex.
253
254 ; Points only to non-existent hosts
255
256 mxt2         MX  5  not-exist.test.ex.
257
258 ; Points to some non-existent hosts;
259 ; Lowest numbered existing points to local host
260
261 mxt3         MX  5  not-exist.test.ex.
262              MX  6  eximtesthost.test.ex.
263
264 ; Points to some non-existent hosts;
265 ; Lowest numbered existing points to non-local host
266
267 mxt3r        MX  5  not-exist.test.ex.
268              MX  6  exim.org.
269
270 ; Points to an alias
271
272 mxt4         MX  5  alias-eximtesthost.test.ex.
273
274 ; Various combinations of precedence and local host
275
276 mxt5         MX  5  eximtesthost.test.ex.
277              MX  5  ten-1.test.ex.
278
279 mxt6         MX  5  ten-1.test.ex.
280              MX  6  eximtesthost.test.ex.
281              MX  6  ten-2.test.ex.
282
283 mxt7         MX  5  ten-2.test.ex.
284              MX  6  ten-3.test.ex.
285              MX  7  eximtesthost.test.ex.
286              MX  8  ten-1.test.ex.
287
288 mxt8         MX  5  ten-2.test.ex.
289              MX  6  ten-3.test.ex.
290              MX  7  eximtesthost.test.ex.
291              MX  7  ten-4.test.ex.
292              MX  8  ten-1.test.ex.
293
294 ; Same host appearing twice; make some variants in different orders to
295 ; simulate a real nameserver and its round robinning
296
297 mxt9         MX  5  ten-1.test.ex.
298              MX  6  ten-2.test.ex.
299              MX  7  ten-3.test.ex.
300              MX  8  ten-1.test.ex.
301
302 mxt9a        MX  6  ten-2.test.ex.
303              MX  7  ten-3.test.ex.
304              MX  8  ten-1.test.ex.
305              MX  5  ten-1.test.ex.
306
307 mxt9b        MX  7  ten-3.test.ex.
308              MX  8  ten-1.test.ex.
309              MX  5  ten-1.test.ex.
310              MX  6  ten-2.test.ex.
311
312 ; MX pointing to IP address
313
314 mxt10        MX  5  V4NET.0.0.1.
315
316 ; Several MXs pointing to local host
317
318 mxt11        MX  5  localhost.test.ex.
319              MX  6  localhost.test.ex.
320
321 mxt11a       MX  5  localhost.test.ex.
322              MX  6  ten-1.test.ex.
323
324 mxt12        MX  5  local1.test.ex.
325              MX  6  local2.test.ex.
326
327 local1       A   127.0.0.2
328 local2       A   127.0.0.2
329
330 ; Some more
331
332 mxt13        MX  4  other1.test.ex.
333              MX  5  other2.test.ex.
334
335 ; Different hosts with same IP addresses in the list
336
337 mxt14        MX  4  ten-5-6.test.ex.
338              MX  5  ten-5.test.ex.
339              MX  6  ten-6.test.ex.
340
341 ; Non-local hosts with different precedence
342
343 mxt15        MX 10  ten-1.test.ex.
344              MX 20  ten-2.test.ex.
345
346 ; Large number of IP addresses at one MX value, and then some
347 ; at another, to check that hosts_max_try tries the MX different
348 ; values if it can.
349
350 mxt99        MX  1  ten-1.test.ex.
351              MX  1  ten-2.test.ex.
352              MX  1  ten-3.test.ex.
353              MX  1  ten-4.test.ex.
354              MX  1  ten-5.test.ex.
355              MX  1  ten-6.test.ex.
356              MX  3  black-1.test.ex.
357              MX  3  black-2.test.ex.
358
359 ; Special case test for @mx_any (to doublecheck a reported Exim 3 bug isn't
360 ; in Exim 4). The MX points to two names, each with multiple addresses. The
361 ; very last address is the local host. When Exim is testing, it will sort
362 ; these addresses into ascending order.
363
364 mxt98        MX  1  98-1.test.ex.
365              MX  2  98-2.test.ex.
366
367 98-1         A   V4NET.1.2.3
368              A   V4NET.4.5.6
369
370 98-2         A   V4NET.7.8.9
371              A   HOSTIPV4
372
373 ; IP addresses with the same MX value
374
375 mxt97        MX  1  ten-1.test.ex.
376              MX  1  ten-2.test.ex.
377              MX  1  ten-3.test.ex.
378              MX  1  ten-4.test.ex.
379
380 ; MX pointing to a single-component name that exists if qualified, but not
381 ; if not. We use the special name dontqualify to stop the fake resolver
382 ; qualifying it.
383
384 mxt1c        MX  1  dontqualify.
385
386 ; MX with punycoded UTF-8 characters used for its lookup ( π.test.ex )
387
388 xn--1xa      MX  0  mx.π.test.ex.
389
390 ; MX with actual UTF-8 characters in its name, for allow_utf8_domains mode test
391
392 π            MX  0  mx.xn--1xa.test.ex.
393
394 ; -------- Testing SRV records --------
395
396 _smtp._tcp.srv01    SRV  0 0 25 ten-1.test.ex.
397
398 _smtp._tcp.srv02    SRV  1 3 99 ten-1.test.ex.
399                     SRV  1 1 99 ten-2.test.ex.
400                     SRV  3 0 66 ten-3.test.ex.
401
402 _smtp._tcp.nosmtp   SRV  0 0 0  .
403
404 _smtp2._tcp.srv03   SRV  0 0 88 ten-4.test.ex.
405
406 _smtp._tcp.srv27    SRV  0 0 PORT_S localhost
407
408
409 ; -------- With some for CSA testing plus their A records -------
410
411 _client._smtp.csa1  SRV  1 2 0  csa1.test.ex.
412 _client._smtp.csa2  SRV  1 1 0  csa2.test.ex.
413
414 csa1         A   V4NET.9.8.7
415 csa2         A   V4NET.9.8.8
416
417 ; ------- Testing DNSSEC ----------
418
419 mx-unsec-a-unsec        MX 5 a-unsec
420 mx-unsec-a-sec          MX 5 a-sec
421 DNSSEC mx-sec-a-unsec   MX 5 a-unsec
422 DNSSEC mx-sec-a-sec     MX 5 a-sec
423 DNSSEC mx-sec-a-aa      MX 5 a-aa
424 AA mx-aa-a-sec          MX 5 a-sec
425
426 a-unsec        A V4NET.0.0.100
427 DNSSEC a-sec   A V4NET.0.0.100
428 DNSSEC l-sec   A 127.0.0.1
429
430 AA a-aa        A V4NET.0.0.100
431
432 ; ------- Testing DANE ------------
433 ; Since these refer to certs in the exim-ca tree, they must be regenerated any time that tree is.
434 ;
435
436 ; full suite dns chain, sha512
437 ;
438 ; TLSA_AUTOGEN
439 ; openssl x509 -in aux-fixed/exim-ca/example.com/server1.example.com/server1.example.com.pem -noout -pubkey \
440 ; | openssl pkey -pubin -outform DER \
441 ; | openssl dgst -sha512 \
442 ; | awk '{print $2}'
443 ;
444 DNSSEC mxnodane             MX  1  nodane
445 DNSSEC mxdane512ee          MX  1  dane512ee
446 DNSSEC mxdane512ee1         MX  1  dane512ee
447 mxnondane512ee              MX  1  dane512ee
448 DNSSEC dane512ee            A      HOSTIPV4
449 DNSSEC nodane               A      HOSTIPV4
450
451 DNSSEC _1225._tcp.dane512ee TLSA 3 1 2 e8173aaefffadc6c96700f7f396a17b8e590ebd15b081f1455abb152afecceb16a5534707ecd64611c8b6d8b9111f82e3fa954b98c6b230cda0e9be386747b71
452
453 # mx of mxdane owns a secure A and TLSA record
454 # used in 5802
455 DNSSEC mxdane               MX  1  dane512ee
456
457 # mx of mxdanesecchain is a CNAME, with a secure target, that owns a secure A and TLSA record
458 DNSSEC mxdanesecchain       MX  1  danesecchain
459 DNSSEC danesecchain         CNAME  dane512ee
460
461 # mx of mxdaneinsecchain is CNAME, with an insecure target that own a secure A and TLSA record
462 # DANE should report a failure if the message is for ...@mxdaneinsecurechain
463 DNSSEC mxdaneinsecchain     MX  1  daneinsecchain
464 daneinsecchain              CNAME  dane512ee
465
466 ; A-only, sha256
467 ;
468 ; TLSA_AUTOGEN
469 ; openssl x509 -in aux-fixed/exim-ca/example.com/server1.example.com/server1.example.com.pem -noout -pubkey \
470 ; | openssl pkey -pubin -outform DER \
471 ; | openssl dgst -sha256 \
472 ; | awk '{print $2}'
473 ;
474 DNSSEC dane256ee            A      HOSTIPV4
475 DNSSEC _1225._tcp.dane256ee TLSA 3 1 1 e9f6e8fe73b130c720eb1fb5c94eaff522ec6f9759ed4c6815351d827b1226a7
476
477 ; full MX, sha256, TA-mode
478 ;
479 ; TLSA_AUTOGEN
480 ; openssl x509 -in aux-fixed/exim-ca/example.com/CA/CA.pem -fingerprint -sha256 -noout \
481 ; | awk -F= '{print $2}' | tr -d : | tr '[A-F]' '[a-f]'
482 ;
483 DNSSEC mxdane256ta          MX  1  dane256ta
484 DNSSEC dane256ta            A      HOSTIPV4
485 DNSSEC _1225._tcp.dane256ta TLSA 2 0 1 0d643c1ebcdf2cb83634e0c2f5102c1e268983401c9f4d8711d60b44d7fb7a3e
486
487
488 ; full MX, sha256, TA-mode, cert-key-only
489 ; Indicates a trust-anchor for a chain involving an Authority Key ID extension
490 ; linkage, as this excites a bug in OpenSSL 1.0.2 which the DANE code has to
491 ; work around, while synthesizing a selfsigned parent for it.
492 ; As it happens it is also an intermediate cert in the CA-rooted chain, as this
493 ; was initially thought to be a factor.
494 ;
495 ; TLSA_AUTOGEN
496 ; openssl x509 -in aux-fixed/exim-ca/example.com/CA/Signer.pem -noout -pubkey \
497 ; | openssl pkey -pubin -outform DER \
498 ; | openssl dgst -sha256 \
499 ; | awk '{print $2}'
500 ;
501 DNSSEC mxdane256tak          MX  1  dane256tak
502 DNSSEC dane256tak            A      HOSTIPV4
503 DNSSEC _1225._tcp.dane256tak TLSA 2 1 1 beabbe636030e4c26d15a015e878c2a607ed5a87774443ffbc6991ec01d2b6b1
504
505
506
507 ; A multiple-return MX where all TLSA lookups defer
508 DNSSEC mxdanelazy           MX  1   danelazy
509 DNSSEC                      MX  2   danelazy2
510
511 DNSSEC danelazy             A       HOSTIPV4
512 DNSSEC danelazy2            A       127.0.0.1
513
514 DNSSEC _1225._tcp.danelazy  CNAME   test.again.dns.
515 DNSSEC _1225._tcp.danelazy2 CNAME   test.again.dns.
516
517 ; hosts with no TLSA (just missing here, hence the TLSA NXDMAIN is _insecure_; a broken dane config)
518 ; 1 for dane-required, 2 for merely requested
519 DNSSEC dane.no.1            A       HOSTIPV4
520 DNSSEC dane.no.2            A       127.0.0.1
521
522 ; a broken dane config (or under attack) where the TLSA lookup fails (as opposed to there not being one)
523 DNSSEC danebroken1          A       127.0.0.1
524 _1225._tcp.danebroken1      CNAME   test.fail.dns.
525
526 ; a broken dane config (or under attack) where the TLSA record is wrong
527 ; (127.0.0.1 for merely dane-requested, but having gotten the TLSA it is supposedly definitive)
528 DNSSEC danebroken2          A       127.0.0.1
529 DNSSEC _1225._tcp.danebroken2 TLSA 2 0 1 cb0fa60000000000000000000000000000000000000000000000000000000000
530
531 ; a broken dane config (or under attack) where the TLSA record is correct but not DNSSEC-assured
532 ; (record copied from dane256ee above)
533 ; TLSA_AUTOGEN
534 ; openssl x509 -in aux-fixed/exim-ca/example.com/server1.example.com/server1.example.com.pem -noout -pubkey \
535 ; | openssl pkey -pubin -outform DER \
536 ; | openssl dgst -sha256 \
537 ; | awk '{print $2}'
538 ; 3 for dane-requested, 4 for dane-required
539 DNSSEC danebroken3          A       127.0.0.1
540 _1225._tcp.danebroken3 TLSA 2 0 1 beabbe636030e4c26d15a015e878c2a607ed5a87774443ffbc6991ec01d2b6b1
541 ; TLSA_AUTOGEN
542 ; openssl x509 -in aux-fixed/exim-ca/example.com/server1.example.com/server1.example.com.pem -noout -pubkey \
543 ; | openssl pkey -pubin -outform DER \
544 ; | openssl dgst -sha256 \
545 ; | awk '{print $2}'
546 DNSSEC danebroken4          A       HOSTIPV4
547 _1225._tcp.danebroken4 TLSA 2 0 1 beabbe636030e4c26d15a015e878c2a607ed5a87774443ffbc6991ec01d2b6b1
548
549 ; a broken dane config (or under attack) where the address record is correct but not DNSSEC-assured
550 ; (TLSA record copied from dane256ee above)
551 ; 5 for dane-requested, 6 for dane-required
552 ; TLSA_AUTOGEN
553 ; openssl x509 -in aux-fixed/exim-ca/example.com/server1.example.com/server1.example.com.pem -noout -pubkey \
554 ; | openssl pkey -pubin -outform DER \
555 ; | openssl dgst -sha256 \
556 ; | awk '{print $2}'
557 danebroken5          A       127.0.0.1
558 DNSSEC _1225._tcp.danebroken5 TLSA 2 0 1 beabbe636030e4c26d15a015e878c2a607ed5a87774443ffbc6991ec01d2b6b1
559 ; TLSA_AUTOGEN
560 ; openssl x509 -in aux-fixed/exim-ca/example.com/server1.example.com/server1.example.com.pem -noout -pubkey \
561 ; | openssl pkey -pubin -outform DER \
562 ; | openssl dgst -sha256 \
563 ; | awk '{print $2}'
564 danebroken6          A       HOSTIPV4
565 DNSSEC _1225._tcp.danebroken6 TLSA 2 0 1 beabbe636030e4c26d15a015e878c2a607ed5a87774443ffbc6991ec01d2b6b1
566
567 ; a good dns config saying there is no dane support, by securely returning NOXDOMAIN for TLSA lookups
568 ; 3 for dane-required, 4 for merely requested
569 ; the TLSA data here is dummy; ignored
570 DNSSEC dane.no.3            A       HOSTIPV4
571 DNSSEC dane.no.4            A       127.0.0.1
572
573 DNSSEC NXDOMAIN _1225._tcp.dane.no.3 TLSA 2 0 1 eec923139018c540a344c5191660ecba1ac3708525a98bfc338e17f31d3fa741
574 DNSSEC NXDOMAIN _1225._tcp.dane.no.4 TLSA 2 0 1 eec923139018c540a344c5191660ecba1ac3708525a98bfc338e17f31d3fa741
575
576 ; a mixed-usage set of TLSA records, EE one failing.  TA one coped from dane256ta.
577 DNSSEC danemixed            A      127.0.0.1
578 DNSSEC _1225._tcp.danemixed TLSA  2 0 1 3d107e4462e4812ac94467063cc658eea8aeabaf69f022babae5c8343cf92743
579 DNSSEC                      TLSA  3 1 1 8276000000000000000000000000000000000000000000000000000000000000
580
581 ; ------- Testing delays ------------
582
583 DELAY=500 delay500   A HOSTIPV4
584 DELAY=1500 delay1500 A HOSTIPV4
585
586 ; ------- DKIM ---------
587
588 ; public key, base64 - matches private key in aux-fixed/dkim/dkim.private
589 ;  openssl genrsa -out aux-fixed/dkim/dkim.private 1024
590 ;  openssl rsa -in aux-fixed/dkim/dkim.private -out /dev/stdout -pubout -outform PEM
591 ;
592 ; Deliberate bad version, having extra backslashes
593 ; sha256-hash-only version.... appears to be too long, gets truncated
594 ;
595 ; Another, 512-bit (with a Notes field)
596 ; 512 requiring sha1 hash
597 ; 512 requiring sha256 hash
598 ;
599 sel._domainkey TXT "v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXRFf+VhT+lCgFhhSkinZKcFNeRzjYdW8vT29Rbb3NadvTFwAd+cVLPFwZL8H5tUD/7JbUPqNTCPxmpgIL+V5T4tEZMorHatvvUM2qfcpQ45IfsZ+YdhbIiAslHCpy4xNxIR3zylgqRUF4+Dtsaqy3a5LhwMiKCLrnzhXk1F1hxwIDAQAB"
600 sel_bad._domainkey TXT "v=DKIM1\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXRFf+VhT+lCgFhhSkinZKcFNeRzjYdW8vT29Rbb3NadvTFwAd+cVLPFwZL8H5tUD/7JbUPqNTCPxmpgIL+V5T4tEZMorHatvvUM2qfcpQ45IfsZ+YdhbIiAslHCpy4xNxIR3zylgqRUF4+Dtsaqy3a5LhwMiKCLrnzhXk1F1hxwIDAQAB"
601 sel_sha256._domainkey TXT "v=DKIM1; h=sha256; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXRFf+VhT+lCgFhhSkinZKcFNeRzjYdW8vT29Rbb3NadvTFwAd+cVLPFwZL8H5tUD/7JbUPqNTCPxmpgIL+V5T4tEZMorHatvvUM2qfcpQ45IfsZ+YdhbIiAslHCpy4xNxIR3zylgqRUF4+Dtsaqy3a5LhwMiKCLrnzhXk1F1hxwIDAQAB"
602
603 ses._domainkey TXT "v=DKIM1; n=halfkilo; p=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL6eAQxd9didJ0/+05iDwJOqT6ly826Vi8aGPecsBiYK5/tAT97fxXk+dPWMZp9kQxtknEzYjYjAydzf+HQ2yJMCAwEAAQ=="
604 ses_sha1._domainkey TXT "v=DKIM1; h=sha1; p=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL6eAQxd9didJ0/+05iDwJOqT6ly826Vi8aGPecsBiYK5/tAT97fxXk+dPWMZp9kQxtknEzYjYjAydzf+HQ2yJMCAwEAAQ=="
605 ses_sha256._domainkey TXT "v=DKIM1; h=sha256; p=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL6eAQxd9didJ0/+05iDwJOqT6ly826Vi8aGPecsBiYK5/tAT97fxXk+dPWMZp9kQxtknEzYjYjAydzf+HQ2yJMCAwEAAQ=="
606
607 sel2._domainkey TXT "v=spf1 mx a include:spf.nl2go.com -all"
608 sel2._domainkey TXT "v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXRFf+VhT+lCgFhhSkinZKcFNeRzjYdW8vT29Rbb3NadvTFwAd+cVLPFwZL8H5tUD/7JbUPqNTCPxmpgIL+V5T4tEZMorHatvvUM2qfcpQ45IfsZ+YdhbIiAslHCpy4xNxIR3zylgqRUF4+Dtsaqy3a5LhwMiKCLrnzhXk1F1hxwIDAQAB"
609
610 ; EC signing, using Ed25519
611 ; - needs GnuTLS 3.6.0 (fedora rawhide has that)
612 ;           certtool --generate-privkey --key-type=ed25519 --outfile=dkim_ed25519.private
613 ;           certtool --load_privkey=dkim_ed25519.private --pubkey_info --outder | tail -c +13 | base64
614
615 sed._domainkey TXT "v=DKIM1; k=ed25519; p=sPs07Vu29FpHT/80UXUcYHFOHifD4o2ZlP2+XUh9g6E="
616
617 ; version of the above wrapped in SubjectPublicKeyInfo, in case the WG plumps in that direction
618 ;       certtool --load_privkey=aux-fixed/dkim/dkim_ed25519.private --pubkey_info
619 ;        (and grab the b64 content from between the pem headers)
620
621 sedw._domainkey TXT "v=DKIM1; k=ed25519; p=MCowBQYDK2VwAyEAsPs07Vu29FpHT/80UXUcYHFOHifD4o2ZlP2+XUh9g6E="
622
623
624 ; End