<div dir="ltr"><div>Hi,</div><div><br></div><div>I'm seeing unbound making extra resolution requests for CNAME records in a chain where the domains differ between the record in the question and the CNAMEs in the answer.  For example a query coming into unbound for a host like <a href="http://a.b.c.com">a.b.c.com</a> that gets a reponse from the server with CNAME <a href="http://a.b.e.com">a.b.e.com</a>, CNAME, <a href="http://a.d.e.com">a.d.e.com</a>, A 1.2.3.4.  Instead of returning those immediately to the client unbound proceeds to resolve <a href="http://a.b.e.com">a.b.e.com</a> and <a href="http://a.c.e.com">a.c.e.com</a>, and then return to the client.  From the logs, when verbose logging is turned on we see messages like:</div><div><br></div><div>  info: sanitize: removing extraneous answer RRset: <a href="http://a.b.e.com">a.b.e.com</a>. CNAME IN</div><div><br></div><div>Our unbound config is fairly simple with a forward-zone for "." pointing to our upstream DNS servers.  We don't have DNSSEC enabled.</div><div><br></div><div>From a quick look at the source I think this is happening in the scrubber at <a href="https://github.com/NLnetLabs/unbound/blob/master/iterator/iter_scrub.c#L663">https://github.com/NLnetLabs/unbound/blob/master/iterator/iter_scrub.c#L663</a></div><div><br></div><div>I was wondering if there was anyway to stop these extra lookups?</div></div>