Verisign hat alle Domains unter .com und .net, die bislang nicht registriert waren, auf sich selbst eingetragen.

Auswirkung
Das Verhalten von Systemen bei Tippfehlern in Adressen ändert sich. Beispielsweise kann nun Mail nicht mehr zustellbar sein, obwohl alles vor der Einführung des neuen Dienstes funktionierte (und ein Konfigurationsfehler vorhanden war, der nicht auffiel).

Außerdem führt die Konfiguratinsänderung dazu, daß einige längst abgeschalteten DNS-Blacklists plötzlich scheinbar wieder aktiv werden.

Beschreibung
Verisign gibt seit kurzem für DNS-Anfragen nach nicht registrierten .COM- und .NET-Domains die Adresse eines speziellen Webservers zurück, Der Webserver bietet eine Art Suchmaschine an, über die die Nutzer theoretisch nach der richtigen Domain suchen können.

Indirekt betrifft die Umleitung weitaus mehr Dienste. Auch ein Mailserver läuft unter der angegebenen Adresse. Daneben hat das bloße Vorhandensein eines A-Records Nebenwirkungen:

• Tippfehler in dem Domain-Teil von Mail-Adressen führen dazu, daß Verisign prinzipiell in der Lage ist, die Absenderadresse aufzuzeichen. Ähnliches gilt für die Pfad-Angabe in HTTP-Requests.

• Falls ein Tippfehler bei einem DNS-MX-Eintrag mit niedriger Priorität vorliegt, kommt es zu Zustellfehlern. Beispielsweise ist es mit der folgenden DNS-Konfiguration

  example.com	86400	IN	MX	10 mail1.xeample.com
  example.com	86400	IN	MX	20 mail2.example.com
  

  fortan nicht mehr möglich, Mail an die Domain example.com zuzustellen. Bislang wurde dieser Fehler verdeckt, da der erste Eintrag von den MTAs ignoriert wurde.

• Der SMTP-Server von Verisign ist völlig fehlerhaft implementiert. Dadurch wird nicht sofort zuverlässig eine Fehlermeldung erzeugt, sondern es kann geschehen, daß der Absender erst nach dem Verstreichen der üblichen 5 Tage (für das Warten auf die Behebung temporärer Fehler) auf seinen Tippfehler aufmerksam gemacht wird.

• Die Konfigurationsänderung führt dazu, daß Spamfilterung, die auf den - seit einiger Zeit abgeschalteten - DNS-Blacklists unter dorkslayers.com basiert, scheinbar wieder funktioniert, da die Verisign-Nameserver die entsprechenden A-Records liefern. Nun werden aber alle Hosts als offene Relays klassifiziert, was dazu führt, daß ein entsprechend filternder Mailserver alle hereinkommenden Nachrichten als Spam ablehnt.

Insbesondere aufgrund der Nebenwirkungen für Internet Mail ist es bedauerlich, daß Verisign diese Konfigurationsänderung durchführte. Verisign ist aber nicht der einzige TLD-Betreiber, der diese "Wildcard A Records" aktiviert hat. Bei .museum gab es diese seit Anbeginn der TLD, weshalb allerdings auch nur ein Teil der genannten Probleme auftreten konnte.

Gegenmaßnahmen

• Exim kann mittels ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8 : 64.94.110.11/32 im dnslookup-Router dazu angewiesen werden, die Adresse zu ignorieren. Der Effekt der Verisign-Änderung wird damit lokal zumindest für Mail rückgängig gemacht.

• Eine Null-Route für 64.94.110.11/32 sorgt dafür, daß (wie bisher) nur der falsch geschriebene Domainname selbst zu Verisign übertragen wird. Allerdings hat eine Null-Route den Nachteil, daß Fehlermeldungen für E-Mail mit falschgeschriebenen Adressen erst sehr verspätet geschickt werden.

• Deswegen sollte 64.94.110.11/32 eher auf ein internes Mail-Relay geroutet werden, welches mit dem Analogon der oben angebenen Exim-Konfiguration versehen wurde.

• ISC hat in die jüngste Versionen von BIND 9 eine Funktion aufgenommen, die rein deligierende Zonen im Resolver durchsetzt. Dadurch können die beiden Wildcard A Records unterdrückt werden.

• Bei Einsatz von DNS-Blacklists sollte ständig geprüft werden, ob diese noch aktiv sind. Von den oben genannten Maßnahmen verhindert nur der BIND-Patch, daß solche Blacklists plötzlich alle Hosts als offene Relays klassifizieren.

Revisionen dieser Meldung

• V. 1.0 (2003-09-16)
• V. 1.1 (2003-09-17) Offizieller BIND-Patch verfügbar

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/