You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1145

[Hintergrund] Verisign registriert alle ungenutzten .COM- und .NET-Domains
(2003-09-16 15:59:57.121117+00) Druckversion


Verisign hat alle Domains unter .com und .net, die bislang nicht registriert waren, auf sich selbst eingetragen.

Auswirkung
Das Verhalten von Systemen bei Tippfehlern in Adressen ändert sich. Beispielsweise kann nun Mail nicht mehr zustellbar sein, obwohl alles vor der Einführung des neuen Dienstes funktionierte (und ein Konfigurationsfehler vorhanden war, der nicht auffiel).

Außerdem führt die Konfiguratinsänderung dazu, daß einige längst abgeschalteten DNS-Blacklists plötzlich scheinbar wieder aktiv werden.

Beschreibung
Verisign gibt seit kurzem für DNS-Anfragen nach nicht registrierten .COM- und .NET-Domains die Adresse eines speziellen Webservers zurück, Der Webserver bietet eine Art Suchmaschine an, über die die Nutzer theoretisch nach der richtigen Domain suchen können.

Indirekt betrifft die Umleitung weitaus mehr Dienste. Auch ein Mailserver läuft unter der angegebenen Adresse. Daneben hat das bloße Vorhandensein eines A-Records Nebenwirkungen:

  • Tippfehler in dem Domain-Teil von Mail-Adressen führen dazu, daß Verisign prinzipiell in der Lage ist, die Absenderadresse aufzuzeichen. Ähnliches gilt für die Pfad-Angabe in HTTP-Requests.

  • Falls ein Tippfehler bei einem DNS-MX-Eintrag mit niedriger Priorität vorliegt, kommt es zu Zustellfehlern. Beispielsweise ist es mit der folgenden DNS-Konfiguration

    example.com	86400	IN	MX	10 mail1.xeample.com
    example.com	86400	IN	MX	20 mail2.example.com
    

    fortan nicht mehr möglich, Mail an die Domain example.com zuzustellen. Bislang wurde dieser Fehler verdeckt, da der erste Eintrag von den MTAs ignoriert wurde.

  • Der SMTP-Server von Verisign ist völlig fehlerhaft implementiert. Dadurch wird nicht sofort zuverlässig eine Fehlermeldung erzeugt, sondern es kann geschehen, daß der Absender erst nach dem Verstreichen der üblichen 5 Tage (für das Warten auf die Behebung temporärer Fehler) auf seinen Tippfehler aufmerksam gemacht wird.

  • Die Konfigurationsänderung führt dazu, daß Spamfilterung, die auf den - seit einiger Zeit abgeschalteten - DNS-Blacklists unter dorkslayers.com basiert, scheinbar wieder funktioniert, da die Verisign-Nameserver die entsprechenden A-Records liefern. Nun werden aber alle Hosts als offene Relays klassifiziert, was dazu führt, daß ein entsprechend filternder Mailserver alle hereinkommenden Nachrichten als Spam ablehnt.

Insbesondere aufgrund der Nebenwirkungen für Internet Mail ist es bedauerlich, daß Verisign diese Konfigurationsänderung durchführte. Verisign ist aber nicht der einzige TLD-Betreiber, der diese "Wildcard A Records" aktiviert hat. Bei .museum gab es diese seit Anbeginn der TLD, weshalb allerdings auch nur ein Teil der genannten Probleme auftreten konnte.

Gegenmaßnahmen

  • Exim kann mittels ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8 : 64.94.110.11/32 im dnslookup-Router dazu angewiesen werden, die Adresse zu ignorieren. Der Effekt der Verisign-Änderung wird damit lokal zumindest für Mail rückgängig gemacht.

  • Eine Null-Route für 64.94.110.11/32 sorgt dafür, daß (wie bisher) nur der falsch geschriebene Domainname selbst zu Verisign übertragen wird. Allerdings hat eine Null-Route den Nachteil, daß Fehlermeldungen für E-Mail mit falschgeschriebenen Adressen erst sehr verspätet geschickt werden.

  • Deswegen sollte 64.94.110.11/32 eher auf ein internes Mail-Relay geroutet werden, welches mit dem Analogon der oben angebenen Exim-Konfiguration versehen wurde.

  • ISC hat in die jüngste Versionen von BIND 9 eine Funktion aufgenommen, die rein deligierende Zonen im Resolver durchsetzt. Dadurch können die beiden Wildcard A Records unterdrückt werden.

  • Bei Einsatz von DNS-Blacklists sollte ständig geprüft werden, ob diese noch aktiv sind. Von den oben genannten Maßnahmen verhindert nur der BIND-Patch, daß solche Blacklists plötzlich alle Hosts als offene Relays klassifizieren.

Revisionen dieser Meldung

  • V. 1.0 (2003-09-16)
  • V. 1.1 (2003-09-17) Offizieller BIND-Patch verfügbar

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.