我们的域名具有以下DNSlogging:
*.example.com IN CNAME foo.org example.com IN A xxxx example.com IN TXT "v=spf1 mx -all" example.com IN MX 10 mail.mailhost.com mail.example.com IN CNAME mail.mailhost.com example.com电子邮件似乎正确发送和接收。
我们不控制foo.org,不信任其pipe理员。
问题1:他们是否有可能利用通配符CNAME来阅读example.com电子邮件?
Q2:我们应该担心通配符CNAME的其他任何潜在的恶意使用吗?
邮件传输代理将使用MX (尽pipe我已经看到了一些只知道Alogging的可怕代码)。 CNAME往往不支持作为MXlogging,与一些DNS或邮件服务器警告或拒绝处理(信使,我相信)。 在[email protected]地址可能需要研究的地方,或者如果你只使用@example.com ,可能是无关紧要的,并且不要指望foo.com像从子域一样伪造邮件,对于一些原因。
如果可以通过IMAP,POP3或类似的东西访问你的邮件服务器,就不可能从你提供的信息中说出来,因为这取决于邮件服务器的configuration,而不是DNS中的内容。 但是,看起来似乎不太可能,只要给出一个合理正常的邮件服务器设置。
除了名称mail.example.com之外,您已完全移交了对example.com下所有名称的控制权。 要告诉他们是否可以使用这种方式来损害您的利益,那么也需要这里没有提供的信息。
A1:没有已知的漏洞(如果有的话,他们很可能会很快被修补)
A2:通配符CNAMES像这样工作:如果更多logging不存在,请按照通配符进行操作。
https://tools.ietf.org/html/rfc4592#section-2.2.1
还有一些需要考虑的事情:胶水logging:上游服务器的IP地址是使用子域名作为域名服务器的域名服务器的名称服务器的IP地址(例如,ns1.example.org是example.org的域名服务器,因此.org域有一个Alogging为ns1.example.org)
另一个例子:我们有一些我pipe理的学校帐户,老师使用多站点wordpress(teachername.example.org),但是学生也有他们自己的电子邮件域,students.example.org。 由于logging存在students.example.org MX,A,TXT等,students.example.org不遵循* .example.org。
如果我将* .example.org CNAME指向的域指定为MXlogging,那么它只适用于没有MXlogging的子域,对于DKIM,DMARC和其他子域是相同的,但是对于此示例,dkim wouldn不工作作为default._domainkey.example.org不匹配* .example.org的通配符,而是* ._ domainkey.example.org。
另外, 我们可以有一个单一的名称多个CNAMES?