<div dir="ltr">Daisuke,<div><br></div><div><br></div><div>The domain has currently no DNSSEC records.  <br></div><div><br></div><div>You are right.</div><div>With the "domain-insecure" setting, the query is not forwarded anymore outside the server.</div><div><br></div><div>root@ns1 [18:45:34]:/var/unbound/etc$ rcctl restart unbound && tail -f /var/log/daemon<br>notice: init module 0: validator<br>notice: init module 1: iterator<br>info: DelegationPoint<<a href="http://mydomain.net">mydomain.net</a>.>: 0 names (0 missing), 2 addrs (0 result, 2 avail) parentNS<br>info: DelegationPoint<.>: 13 names (0 missing), 26 addrs (0 result, 26 avail) parentNS<br>info: start of service (unbound 1.11.0).<br>query: 127.0.0.1 <a href="http://mydomain.net">mydomain.net</a>. A IN<br>info: validator operate: query <a href="http://mydomain.net">mydomain.net</a>. A IN<br>info: resolving <a href="http://mydomain.net">mydomain.net</a>. A IN<br>info: processQueryTargets: <a href="http://mydomain.net">mydomain.net</a>. A IN<br>info: sending query: <a href="http://mydomain.net">mydomain.net</a>. A IN<br>info: iterator operate: query <a href="http://mydomain.net">mydomain.net</a>. A IN<br>info: response for <a href="http://mydomain.net">mydomain.net</a>. A IN<br>info: reply from <<a href="http://mydomain.net">mydomain.net</a>.> ip_address_ns1#53<br>info: query response was ANSWER<br>info: finishing processing for <a href="http://mydomain.net">mydomain.net</a>. A IN<br>info: validator operate: query <a href="http://mydomain.net">mydomain.net</a>. A IN<br>reply: 127.0.0.1 <a href="http://mydomain.net">mydomain.net</a>. A IN NOERROR 0.002583 0 57<br><br></div><div><br></div><div>Thanks for your suggestion !</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le jeu. 25 mars 2021 à 17:29, Daisuke HIGASHI <<a href="mailto:daisuke.higashi@gmail.com">daisuke.higashi@gmail.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
Regardless of forwarder statements, Unbound tries to verify DNSSEC<br>
"chain of trust" root -> net-><a href="http://mydomain.net" rel="noreferrer" target="_blank">mydomain.net</a>" generating queries to<br>
these nameservers.<br>
If this is not desired, mark "insecure" on the target domain.<br>
<br>
      ----<br>
      domain-insecure: "<a href="http://mydomain.net" rel="noreferrer" target="_blank">mydomain.net</a>"   ***<br>
      forward-zone:<br>
        name: "<a href="http://mydomain.net" rel="noreferrer" target="_blank">mydomain.net</a>"<br>
        forward-addr: ip_address_ns1<br>
      ----<br>
<br>
or if you have <a href="http://mydomain.net" rel="noreferrer" target="_blank">mydomain.net</a>'s real DNSSEC trust anchor, set it ?<br>
</blockquote></div>