Подстановочный знак CNAME, нормальная запись MX: Риск непреднамеренной почтовой маршрутизации или налета?
Наш домен имеет следующие записи DNS:
*.example.com IN CNAME foo.org
example.com IN A x.x.x.x
example.com IN TXT "v=spf1 mx -all"
example.com IN MX 10 mail.mailhost.com
mail.example.com IN CNAME mail.mailhost.com
Электронные письма example.com, кажется, отправляют и получают правильно.
Мы не управляем foo.org и не доверяем его администраторам.
Q1: Это любым возможным путем, чтобы они использовали подстановочный знак CNAME для чтения электронных писем example.com?
Q2: Какое-либо другое злое потенциальное использование подстановочного знака CNAME мы должны волноваться о?
Агенты транспорта почты будут использовать MX (хотя я видел ужасный код, который знает только о записях A); CNAME, как правило, не поддерживается в виде MX записей, с некоторыми DNS или почтовыми серверами, предупреждающими или отказывающимися работать с такими записями (я полагаю, что Courier). Где user@sub.example.com адрес может нуждаться в исследовании, или может быть неактуальным, если вы используете только @example.com, и не ждите, что хорошие люди на foo.com по каким-то причинам подделывают почту, как будто из поддомена.
Невозможно сказать из предоставленной вами информации, могут ли они использовать ее для доступа к вашему почтовому серверу через IMAP, POP3 или что-то в этом роде, так как это зависит от конфигурации почтового сервера, а не от того, что находится в DNS. Однако, это кажется маловероятным при достаточно нормальной настройке почтового сервера.
Вы полностью передали контроль над всеми именами под example.com, за исключением имени mail.example.com. Чтобы сказать, могут ли они использовать это во вред вам, опять же, требуется информация, не указанная здесь.
A1: Известных эксплойтов нет (если они есть, то, скорее всего, они будут быстро исправлены)
A2: Wildcard CNAMES работают таким образом: Если больше записи не существует, следуйте подстановочному знаку.
https://tools.ietf.org/html/rfc4592#section-2.2.1
Что-нибудь ещё, о чём можно подумать: glue records: где верхние серверы имеют IP-адреса серверов имён для серверов, использующих поддомены в качестве серверов имён (например, ns1.example.org - это сервер имён, например.org, поэтому в зоне .org. есть запись A для ns1.example.org)
Другой пример: У нас есть несколько школьных учетных записей, которыми я управляю, учителя используют многосайтовый wordpress (teacherhername.example.org), но ученики также имеют свой собственный почтовый домен students.example.org. Поскольку записи для students.example.org существуют для MX, A, TXT и других, то students.example.org не следует *.example.org.
Если домен, на который я нахожусь *. example.org CNAME имел запись MX, он будет применен только к субдоменам, которые не имеют записей MX, то же самое для DKIM, DMARC и других, однако в этом примере ключ для dkim не будет работать по умолчанию._domainkey.example.org не соответствует подстановочному знаку *.example.org, а скорее *._domainkey.example.org.