<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Apr 15, 2019 at 1:17 PM Bart Mortelmans <<a href="mailto:powerdns@bart.bim.be">powerdns@bart.bim.be</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF">
    <div class="gmail-m_4187968185941162936moz-cite-prefix">It seems like this doesn't cause any
        problems in the real world, only in a test like the one on
        <a href="http://internet.nl" target="_blank">internet.nl</a>. But as far as I can tell, it's not okay with
        RFC8020.</div></div></blockquote><div><br></div><div>Very interesting read, thanks. I was looking for such a rule in other RFCs while writing a reply to Steffan, but it appears to be in a separate RFC on its own. :-)</div><div>The important take from that RFC seems to be:</div><div><br></div><div>> Since the domain names are organized in<br>> a tree, it is a simple consequence of the tree structure:<br>> nonexistence of a node implies nonexistence of the entire subtree<br>> rooted at this node.</div><div><br></div><div>FWIW, PowerDNS is not stating to be compliant with that RFC. [1] :-(<br></div><div>However, it is mentioned  on the Hello DNS explanatory pages. [2]</div><div><br></div><div>[1]: <a href="https://www.powerdns.com/compliance.html">https://www.powerdns.com/compliance.html</a></div><div>[2]: <a href="https://powerdns.org/hello-dns/basic.md.html#that'sitforbasicdns!/furtherreading/rfc8020:nxdomain:therereallyisnothingunderneath">https://powerdns.org/hello-dns/basic.md.html#that'sitforbasicdns!/furtherreading/rfc8020:nxdomain:therereallyisnothingunderneath</a><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div bgcolor="#FFFFFF"><div class="gmail-m_4187968185941162936moz-cite-prefix">And I tested some other nameservers (Google cloud DNS,
        Dyn.com and Yadifa happened to be easy to test for me) and I can
        confirm that they all do return "NOERROR" instead of "NXDOMAIN"
        if a sub-host exists.
      <div class="gmail-m_4187968185941162936moz-cite-prefix"><br>
      </div>
      <div class="gmail-m_4187968185941162936moz-cite-prefix">The situation still seems to be the
        same in the upcoming PowerDNS 4.2 with MySQL backend (I didn't
        test other backends)</div></div></div></blockquote><div><br></div><div>I'm running PowerDNS Authoritative 4.2.0-rc1 with the BIND Backend and it responds as it should, without having any RR on name '_domainkey' for the zone! The domain passes the test just fine.</div><div>Perhaps this is specific to the backend?</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div bgcolor="#FFFFFF"><div class="gmail-m_4187968185941162936moz-cite-prefix">
      
      <div class="gmail-m_4187968185941162936moz-cite-prefix">The only solution to this "problem"
        (or to get through the test...) I have found was to create any
        other record type on _domainkey (obviously not CNAME or NS, but
        any other record type should be okay).</div></div></div></blockquote><div><br></div><div>Hmm, meh.</div><div><br></div><div>@Steffan: What version of PowerDNS & backend are you using?<br></div><div><br></div><div>HTH<br></div></div></div></div></div></div>