![[HaBo]](/styles/default/logoklein.png){kind=small}
Verisign hat alle Domains unter .com und .net, die bislang nicht
registriert waren, auf sich selbst eingetragen.
Auswirkung
Das Verhalten von Systemen bei Tippfehlern in Adressen ändert sich.
Beispielsweise kann nun Mail nicht mehr zustellbar sein, obwohl alles
vor der Einführung des neuen Dienstes funktionierte (und ein
Konfigurationsfehler vorhanden war, der nicht auffiel).
Außerdem führt die Konfiguratinsänderung dazu, daß einige längst
abgeschalteten DNS-Blacklists plötzlich scheinbar wieder aktiv werden.
Beschreibung
Verisign gibt seit kurzem für DNS-Anfragen nach nicht registrierten
.COM- und .NET-Domains die Adresse eines speziellen Webservers zurück,
Der Webserver bietet eine Art Suchmaschine an, über die die Nutzer
theoretisch nach der richtigen Domain suchen können.
Indirekt betrifft die Umleitung weitaus mehr Dienste. Auch ein
Mailserver läuft unter der angegebenen Adresse. Daneben hat das bloße
Vorhandensein eines A-Records Nebenwirkungen:
* Tippfehler in dem Domain-Teil von Mail-Adressen führen dazu, daß
Verisign prinzipiell in der Lage ist, die Absenderadresse
aufzuzeichen. Ähnliches gilt für die Pfad-Angabe in HTTP-Requests.
* Falls ein Tippfehler bei einem DNS-MX-Eintrag mit niedriger
Priorität vorliegt, kommt es zu Zustellfehlern. Beispielsweise ist
es mit der folgenden DNS-Konfiguration
example.com 86400 IN MX 10 mail1.xeample.com
example.com 86400 IN MX 20 mail2.example.com
fortan nicht mehr möglich, Mail an die Domain example.com
zuzustellen. Bislang wurde dieser Fehler verdeckt, da der erste
Eintrag von den MTAs ignoriert wurde.
* Der SMTP-Server von Verisign ist völlig fehlerhaft implementiert.
Dadurch wird nicht sofort zuverlässig eine Fehlermeldung erzeugt,
sondern es kann geschehen, daß der Absender erst nach dem
Verstreichen der üblichen 5 Tage (für das Warten auf die Behebung
temporärer Fehler) auf seinen Tippfehler aufmerksam gemacht wird.
* Die Konfigurationsänderung führt dazu, daß Spamfilterung, die auf
den - seit einiger Zeit abgeschalteten - DNS-Blacklists unter
dorkslayers.com basiert, scheinbar wieder funktioniert, da die
Verisign-Nameserver die entsprechenden A-Records liefern. Nun
werden aber alle Hosts als offene Relays klassifiziert, was dazu
führt, daß ein entsprechend filternder Mailserver alle
hereinkommenden Nachrichten als Spam ablehnt.
Insbesondere aufgrund der Nebenwirkungen für Internet Mail ist es
bedauerlich, daß Verisign diese Konfigurationsänderung durchführte.
Verisign ist aber nicht der einzige TLD-Betreiber, der diese "Wildcard
A Records" aktiviert hat. Bei .museum gab es diese seit Anbeginn der
TLD, weshalb allerdings auch nur ein Teil der genannten Probleme
auftreten konnte.
Gegenmaßnahmen
* Exim kann mittels ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8 :
64.94.110.11/32 im dnslookup-Router dazu angewiesen werden, die
Adresse zu ignorieren. Der Effekt der Verisign-Änderung wird damit
lokal zumindest für Mail rückgängig gemacht.
* Eine Null-Route für 64.94.110.11/32 sorgt dafür, daß (wie bisher)
nur der falsch geschriebene Domainname selbst zu Verisign
übertragen wird. Allerdings hat eine Null-Route den Nachteil, daß
Fehlermeldungen für E-Mail mit falschgeschriebenen Adressen erst
sehr verspätet geschickt werden.
* Deswegen sollte 64.94.110.11/32 eher auf ein internes Mail-Relay
geroutet werden, welches mit dem Analogon der oben angebenen
Exim-Konfiguration versehen wurde.
* Ein [1]Patch für BIND 8 unterdrückt den DNS-Eintrag (ebenfalls
anhand der IP-Adresse).
* Bei Einsatz von DNS-Blacklists sollte ständig geprüft werden, ob
diese noch aktiv sind. Von den oben genannten Maßnahmen verhindert
nur der BIND-Patch, daß solche Blacklists plötzlich alle Hosts als
offene Relays klassifizieren.
Aktuelle Version dieses Artikels
[2]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1145
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright ? 2003 RUS-CERT, Universität Stuttgart,
[3]http://CERT.Uni-Stuttgart.DE/
References
1. http://achurch.org/bind-verisign-patch.html
2. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1145
3. http://CERT.Uni-Stuttgart.DE/
registriert waren, auf sich selbst eingetragen.
Auswirkung
Das Verhalten von Systemen bei Tippfehlern in Adressen ändert sich.
Beispielsweise kann nun Mail nicht mehr zustellbar sein, obwohl alles
vor der Einführung des neuen Dienstes funktionierte (und ein
Konfigurationsfehler vorhanden war, der nicht auffiel).
Außerdem führt die Konfiguratinsänderung dazu, daß einige längst
abgeschalteten DNS-Blacklists plötzlich scheinbar wieder aktiv werden.
Beschreibung
Verisign gibt seit kurzem für DNS-Anfragen nach nicht registrierten
.COM- und .NET-Domains die Adresse eines speziellen Webservers zurück,
Der Webserver bietet eine Art Suchmaschine an, über die die Nutzer
theoretisch nach der richtigen Domain suchen können.
Indirekt betrifft die Umleitung weitaus mehr Dienste. Auch ein
Mailserver läuft unter der angegebenen Adresse. Daneben hat das bloße
Vorhandensein eines A-Records Nebenwirkungen:
* Tippfehler in dem Domain-Teil von Mail-Adressen führen dazu, daß
Verisign prinzipiell in der Lage ist, die Absenderadresse
aufzuzeichen. Ähnliches gilt für die Pfad-Angabe in HTTP-Requests.
* Falls ein Tippfehler bei einem DNS-MX-Eintrag mit niedriger
Priorität vorliegt, kommt es zu Zustellfehlern. Beispielsweise ist
es mit der folgenden DNS-Konfiguration
example.com 86400 IN MX 10 mail1.xeample.com
example.com 86400 IN MX 20 mail2.example.com
fortan nicht mehr möglich, Mail an die Domain example.com
zuzustellen. Bislang wurde dieser Fehler verdeckt, da der erste
Eintrag von den MTAs ignoriert wurde.
* Der SMTP-Server von Verisign ist völlig fehlerhaft implementiert.
Dadurch wird nicht sofort zuverlässig eine Fehlermeldung erzeugt,
sondern es kann geschehen, daß der Absender erst nach dem
Verstreichen der üblichen 5 Tage (für das Warten auf die Behebung
temporärer Fehler) auf seinen Tippfehler aufmerksam gemacht wird.
* Die Konfigurationsänderung führt dazu, daß Spamfilterung, die auf
den - seit einiger Zeit abgeschalteten - DNS-Blacklists unter
dorkslayers.com basiert, scheinbar wieder funktioniert, da die
Verisign-Nameserver die entsprechenden A-Records liefern. Nun
werden aber alle Hosts als offene Relays klassifiziert, was dazu
führt, daß ein entsprechend filternder Mailserver alle
hereinkommenden Nachrichten als Spam ablehnt.
Insbesondere aufgrund der Nebenwirkungen für Internet Mail ist es
bedauerlich, daß Verisign diese Konfigurationsänderung durchführte.
Verisign ist aber nicht der einzige TLD-Betreiber, der diese "Wildcard
A Records" aktiviert hat. Bei .museum gab es diese seit Anbeginn der
TLD, weshalb allerdings auch nur ein Teil der genannten Probleme
auftreten konnte.
Gegenmaßnahmen
* Exim kann mittels ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8 :
64.94.110.11/32 im dnslookup-Router dazu angewiesen werden, die
Adresse zu ignorieren. Der Effekt der Verisign-Änderung wird damit
lokal zumindest für Mail rückgängig gemacht.
* Eine Null-Route für 64.94.110.11/32 sorgt dafür, daß (wie bisher)
nur der falsch geschriebene Domainname selbst zu Verisign
übertragen wird. Allerdings hat eine Null-Route den Nachteil, daß
Fehlermeldungen für E-Mail mit falschgeschriebenen Adressen erst
sehr verspätet geschickt werden.
* Deswegen sollte 64.94.110.11/32 eher auf ein internes Mail-Relay
geroutet werden, welches mit dem Analogon der oben angebenen
Exim-Konfiguration versehen wurde.
* Ein [1]Patch für BIND 8 unterdrückt den DNS-Eintrag (ebenfalls
anhand der IP-Adresse).
* Bei Einsatz von DNS-Blacklists sollte ständig geprüft werden, ob
diese noch aktiv sind. Von den oben genannten Maßnahmen verhindert
nur der BIND-Patch, daß solche Blacklists plötzlich alle Hosts als
offene Relays klassifizieren.
Aktuelle Version dieses Artikels
[2]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1145
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright ? 2003 RUS-CERT, Universität Stuttgart,
[3]http://CERT.Uni-Stuttgart.DE/
References
1. http://achurch.org/bind-verisign-patch.html
2. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1145
3. http://CERT.Uni-Stuttgart.DE/