Curinga CNAME, registro MX normal: Risco de roteamento de mensagens não intencionais ou seqüestro?

1

Nosso domínio tem os seguintes registros de DNS:

*.example.com      IN   CNAME    foo.org
example.com        IN   A        x.x.x.x
example.com        IN   TXT      "v=spf1 mx -all"
example.com        IN   MX       10 mail.mailhost.com
mail.example.com   IN   CNAME    mail.mailhost.com

emails example.com parecem enviar e receber corretamente.

Nós não controlamos foo.org e não confiamos em seus administradores.

Q1: É possível, de alguma forma, que eles explorem o curinga CNAME para ler os emails example.com?

Q2: Quaisquer outros usos potencialmente malignos de um CNAME curinga que devemos nos preocupar?

    
por Chris S 15.09.2015 / 22:20

3 respostas

1

Os agentes de transporte de email usarão o MX (embora eu tenha visto algum código terrível que saiba apenas sobre A records); CNAME tendem a não ser suportados como MX registros, com alguns DNS ou servidores de email avisando ou recusando-se a lidar com isso (Courier, eu acredito). Onde um [email protected] endereço vai precisar de pesquisa, ou pode ser irrelevante se você usar apenas @example.com , e não espere que o pessoal fino em foo.com forje e-mails como se de um subdomínio, por algum motivo.

    
por 15.09.2015 / 23:43
1

Não é possível dizer, a partir das informações fornecidas, se elas podem usá-las, acessar seu servidor de e-mail via IMAP, POP3 ou algo assim, pois isso depende da configuração do servidor de e-mail e não do DNS. Parece improvável, no entanto, dada uma configuração de servidor de email razoavelmente normal.

Você entregou completamente o controle sobre todos os nomes em example.com , exceto o nome mail.example.com . Para dizer se eles podem usar isso em seu detrimento, mais uma vez, exigem informações não dadas aqui.

    
por 16.09.2015 / 11:11
1

A1: Não há explorações conhecidas (se houver, elas provavelmente seriam corrigidas rapidamente)

A2: O curinga CNAMES funciona assim: se não houver mais nenhum registro, siga o curinga.

link

Mais uma coisa para pensar: registros de colagem: onde os servidores upstream têm o endereço IP dos servidores de nomes dos servidores que usam subdomínios como servidores de nomes (por exemplo, ns1.example.org é um servidor de nomes para example.org, portanto a zona .org. tem um registro A para ns1.example.org )

Outro exemplo: Temos algumas contas escolares que gerencio, os professores usam um wordpress de vários sites (nome_do_computador.example.org), mas os alunos também têm seu próprio domínio de e-mail, students.example.org. Como existem registros para students.example.org para MX, A, TXT e outros, o students.example.org não segue * .example.org.

Se o domínio que eu aponte * .example.org CNAME tiver um registro MX, ele se aplicará apenas aos subdomínios que não têm registros MX, mesmo para DKIM, DMARC e outros, no entanto, por esse exemplo, a chave para dkim não funcionaria como default._domainkey.example.org não corresponde ao curinga de * .example.org, mas sim * ._ domainkey.example.org.

TAMBÉM Podemos ter vários CNAMES para um único nome?

    
por 22.09.2015 / 04:06