解决DNS滥用configuration滥用投诉

今天，我收到了关于我的DNS服务器的滥用投诉。

翻译由Froggiz提供

嗨，

CERT-FR已经被他的一个合伙人告知，下面的一个或多个域名服务器（DNS）没有validation“zone AXFR”的转移协议的IP源

• 在使用Azure资源pipe理器时反向DNS
• Cloudflare和反向DNS之间的不兼容
• 域不指向服务器，从.inredirect到.com
• AD中每个客户的Alogging是否必要？
• NS1和CloudFront，ALIAS与CNAME

ID，域，名称服务器，IP地址，国家329872，mydomain.com，ns1.mydomain.com。，101.51.251.156，FR 329872，mydomain.com，ns2.mydomain.com。，101.51.251.156，FR

因此，任何人都可以获得这个DNS上的整个DNSlogging和托pipe域名。

您可以在以下链接中find更多信息和帮助： http : //www.cert.ssi.gouv.fr/site/CERTA-2012-ACT-048/CERTA-2012-ACT-048.html

您有责任检查这些信息的真实性并采取适当的纠正措施

CERT-FR可随时为您提供更多信息或build议

这是投诉，它的法语！

Bonjour, Le CERT-FR a été informé par l'un de ses partenaires que le ou les serveurs de noms (DNS) ci-dessous n'effectuent pas de validation de l'adresse IP source lors de l'utilisation du protocole de transfert de zone AXFR : ID,Domain,Name server,IP address,Country 329872,mydomain.com,ns1.mydomain.com.,101.51.251.156,FR 329872,mydomain.com,ns2.mydomain.com.,101.51.251.156,FR Par conséquent, n'importe qui est en capacité de récupérer l'intégralité des informations DNS du ou des domaines hébergés sur ce ou ces serveurs de noms. Vous pourrez trouver des informations complémentaires à l'aide du lien suivant : http://www.cert.ssi.gouv.fr/site/CERTA-2012-ACT-048/CERTA-2012-ACT-048.html Il vous revient de vérifier la véracité de cette information et de prendre les mesures de correction adaptées. Le CERT-FR se tient à votre disposition pour toute information ou conseil complémentaires. Cordialement, 

在我的DNS服务器上，我正在使用Bind9：

这里是我的绑定configuration：

 // // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // options { listen-on port 53 { 127.0.0.1; 101.51.251.156;}; ### Master DNS IP ### # listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any;}; ### IP Range ### // allow-recursion {"none";}; //allow-transfer{ localhost; 101.51.251.156; }; ### Slave DNS IP ### /* - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion. - If you are building a RECURSIVE (caching) DNS server, you need to enable recursion. - If your recursive DNS server has a public IP address, you MUST enable access control to limit queries to your legitimate users. Failing to do so will cause your server to become part of large scale DNS amplification attacks. Implementing BCP38 within your network would greatly reduce such attack surface */ recursion no; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; pid-file "/run/named/named.pid"; session-keyfile "/run/named/session.key"; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; zone "mydomain.com" IN { type master; file "mydomain.com.zone"; allow-update { none; }; }; include "/etc/named.rfc1912.zones"; include "/etc/named.root.key"; 

和我的区域文件：

 $TTL 86400; @ IN SOA ns1.mydomain.com. admin.mydomain.com. ( 2010062801 ; Serial 10800 ; Refresh 3600 ; Retry 604800 ; Expire 86400 ; Minimum ) mydomain.com. IN NS ns1.mydomain.com. mydomain.com. IN NS ns2.mydomain.com. mydomain.com. IN A 101.51.251.156 ns1.mydomain.com. IN A 101.51.251.156 ns2.mydomain.com. IN A 101.51.251.156 www.mydomain.com. IN A 101.51.251.156 ftp.mydomain.com. IN A 101.51.251.156 mail.mydomain.com. IN A 101.51.251.156 *.mydomain.com. IN A 101.51.251.156 mydomain.com. IN MX 10 mail.mydomain.com. 

我想知道我做错了什么，我该怎么做才能解决这个问题

预先感谢