Наш домен имеет следующие записи DNS:
*.example.com IN CNAME foo.org
example.com IN A x.x.x.x
example.com IN TXT "v=spf1 mx -all"
example.com IN MX 10 mail.mailhost.com
mail.example.com IN CNAME mail.mailhost.com
Электронные письма example.com, кажется, отправляют и получают правильно.
Мы не управляем foo.org и не доверяем его администраторам.
Q1: Это любым возможным путем, чтобы они использовали подстановочный знак CNAME для чтения электронных писем example.com?
Q2: Какое-либо другое злое потенциальное использование подстановочного знака CNAME мы должны волноваться о?
Агенты транспорта почты будут использовать MX
(хотя я видел ужасный код, который знает только о записях A
); CNAME
, как правило, не поддерживается в виде MX
записей, с некоторыми DNS или почтовыми серверами, предупреждающими или отказывающимися работать с такими записями (я полагаю, что Courier). Где user@sub.example.com
адрес может нуждаться в исследовании, или может быть неактуальным, если вы используете только @example.com
, и не ждите, что хорошие люди на foo.com
по каким-то причинам подделывают почту, как будто из поддомена.
Невозможно сказать из предоставленной вами информации, могут ли они использовать ее для доступа к вашему почтовому серверу через IMAP, POP3 или что-то в этом роде, так как это зависит от конфигурации почтового сервера, а не от того, что находится в DNS. Однако, это кажется маловероятным при достаточно нормальной настройке почтового сервера.
Вы полностью передали контроль над всеми именами под example.com
, за исключением имени mail.example.com
. Чтобы сказать, могут ли они использовать это во вред вам, опять же, требуется информация, не указанная здесь.
A1: Известных эксплойтов нет (если они есть, то, скорее всего, они будут быстро исправлены)
A2: Wildcard CNAMES работают таким образом: Если больше записи не существует, следуйте подстановочному знаку.
https://tools.ietf.org/html/rfc4592#section-2.2.1
Что-нибудь ещё, о чём можно подумать: glue records: где верхние серверы имеют IP-адреса серверов имён для серверов, использующих поддомены в качестве серверов имён (например, ns1.example.org - это сервер имён, например.org, поэтому в зоне .org. есть запись A для ns1.example.org)
Другой пример: У нас есть несколько школьных учетных записей, которыми я управляю, учителя используют многосайтовый wordpress (teacherhername.example.org), но ученики также имеют свой собственный почтовый домен students.example.org. Поскольку записи для students.example.org существуют для MX, A, TXT и других, то students.example.org не следует *.example.org.
Если домен, на который я нахожусь *. example.org CNAME имел запись MX, он будет применен только к субдоменам, которые не имеют записей MX, то же самое для DKIM, DMARC и других, однако в этом примере ключ для dkim не будет работать по умолчанию._domainkey.example.org не соответствует подстановочному знаку *.example.org, а скорее *._domainkey.example.org.