Dangling DNS ist ein kritisches Problem, das durch Schwachstellen im Domain Name System (DNS) entsteht - einem dezentralen System, das zur Lokalisierung von Ressourcen im Internet verwendet wird. Durch die Übersetzung von menschenlesbaren Domänennamen wie google.com in maschinenlesbare IP-Adressen wie 101.102.25.22 gewährleistet DNS eine nahtlose Verbindung.
Man kann es sich wie ein Telefonbuch vorstellen, das Namen mit Nummern verknüpft, um den Zugriff zu erleichtern. Wenn es jedoch zu DNS-Fehlkonfigurationen kommt, können diese zu "Dangling-DNS-Einträgen" führen - Einträge, die auf nicht existierende oder stillgelegte Ressourcen verweisen - und Domains erheblichen Sicherheitsrisiken aussetzen. Die Behebung dieser Probleme ist für die Aufrechterhaltung einer sicheren Online-Präsenz unerlässlich.
Wichtigste Erkenntnisse
- Dangling-DNS-Einträge setzen Domänen erheblichen Sicherheitsrisiken aus, da sie auf nicht existierende oder stillgelegte Ressourcen verweisen.
- Häufige Ursachen für fehlerhafte DNS-Einträge sind Fehlkonfigurationen, abgelaufene Dienste und nicht mehr verfügbare Hosting-Konten.
- Angriffe zur Übernahme von Subdomains können durch fehlerhafte DNS-Einträge ausgelöst werden, die es Angreifern ermöglichen, bösartige Inhalte über kompromittierte Domains zu kontrollieren und bereitzustellen.
- E-Mail-Authentifizierungsdatensätze sind besonders anfällig für "Dangling DNS"-Probleme und müssen regelmäßig überwacht werden, um eine ordnungsgemäße Konfiguration sicherzustellen.
- Sowohl die manuelle Überprüfung als auch automatisierte DNS-Überwachungstools sind unerlässlich, um fehlerhafte DNS-Einträge aufzuspüren und wirksam zu beseitigen.
Was sind "Dangling DNS Records"?
Ein Dangling-DNS-Eintrag ist ein DNS-Eintrag, der auf eine Ressource verweist, die nicht mehr existiert oder auf die kein Zugriff mehr möglich ist. Cyberkriminelle im Internet sind immer auf der Jagd nach solchen DNS-Einträgen, da sie anfällig für Informationslecks sind. Einige dieser Einträge können sensible Informationen über eine Domäne enthalten und so zu einer Goldgrube für Bedrohungsakteure werden, die davon profitieren können.
Häufige Szenarien, die zu Dangling DNS führen
- DNS-Fehlkonfigurationen
Das Domänennamensystem wird getrennt von der Internetressource konfiguriert, mit der wir interagieren wollen. Die zum DNS hinzugefügten DNS-Einträge verweisen auf diese Ressourcen und helfen uns beim Zugriff auf sie. In bestimmten Fällen kann eine zuvor konfigurierte Ressource von ihrem Host dekonfiguriert werden. Zum Beispiel wurde ein DNS-Eintrag von einem Domänenbesitzer so konfiguriert, dass er auf die IP-Adresse eines Servers verweist. Dieser Server wird nun nicht mehr verwendet. Der DNS-Eintrag verweist nun auf eine Ressource, die nicht mehr existiert und kann daher als "Dangling DNS"-Eintrag bezeichnet werden.
- Abgelaufene oder gelöschte Cloud-Ressourcen
Wenn ein von einem Domänenbesitzer genutzter Cloud-Dienst ausläuft oder gelöscht wird, wird jeder DNS-Eintrag, der auf diesen Dienst verweist, zu einem Danglish-DNS-Eintrag. Dieser DNS-Eintrag bleibt weiterhin aktiv, und jeder Angreifer kann die Ressource nutzen, um bösartige Inhalte bereitzustellen.
- Veraltete IPs
Ein Unternehmen kann seine Dienste zu einem neuen Anbieter migrieren, während die bisherigen IPs veraltet sind. Allerdings vergisst es, die alten DNS-Einträge zu aktualisieren oder zu entfernen. Diese alten Einträge sind anfällig für Subdomain-Übernahmeangriffe und können sehr leicht ausgenutzt werden.
- Stilllegung oder Einstellung des Dienstes
Ein E-Mail-Server, ein Hosting-Konto oder ein Drittanbieter wird eingestellt oder außer Betrieb genommen, die DNS-Einträge wie MX-, A- und CNAME-Einträge sind jedoch noch aktiv und konfiguriert. Angreifer können diese aktiven Dangling-DNS-Einträge ausnutzen, um sich als der eingestellte Dienst auszugeben.
Vereinfachen Sie verhedderte DNS-Einträge mit PowerDMARC!
Die Risiken ungeordneter DNS-Einträge
Versteckte DNS-Schwachstellen wie Dangling DNS können zur Ausnutzung von Domänen und zu Cyber-Bedrohungen führen.
Was ist eine Subdomain-Übernahme-Attacke?
Wenn ein Angreifer einen fehlerhaften DNS-Eintrag entdeckt, der auf eine entkonfigurierte Ressource verweist, ergreift er sofort die Gelegenheit. Der Angreifer übernimmt die (Sub-)Domain, auf die der fehlerhafte DNS-Eintrag verweist, und leitet so den gesamten Datenverkehr zu einer vom Angreifer kontrollierten Domain mit vollständigem Zugriff auf die Inhalte und Ressourcen der Domain.
Die Folgen einer Übernahme Ihrer Domain/Subdomain durch einen Angreifer:
Eine entkonfigurierte Domäne oder ein entkonfigurierter Server kann zu einem Nährboden für bösartige Ressourcen werden, die von einem Angreifer manipuliert werden, über den der Domäneninhaber keine Kontrolle hat. Dies bedeutet, dass der Angreifer die vollständige Herrschaft über den Domänennamen ausüben kann, um einen illegalen Dienst zu betreiben, Phishing-Kampagnen bei ahnungslosen Opfern zu starten und den guten Ruf Ihres Unternehmens auf dem Markt zu schädigen.
Besteht die Gefahr, dass Ihre DNS-Einträge hängen bleiben?
Die Antwort lautet Ja. Die folgenden E-Mail-Authentifizierungsdatensätze können anfällig für "Dangling DNS"-Probleme sein:
E-Mail-Authentifizierungsprotokolle wie DMARC werden durch Hinzufügen eines TXT-Eintrags zu Ihrem DNS konfiguriert. Neben der Konfiguration einer Richtlinie für die E-Mails Ihrer Domäne können Sie DMARC auch nutzen, um einen Berichtsmechanismus zu aktivieren, der Ihnen eine Fülle von Informationen über Ihre Domänen, Anbieter und E-Mail-Quellen liefert.
- SPF-Eintrag
Ein weiteres, häufig verwendetes System zur Überprüfung der E-Mail-Quelle, SPF existiert in Ihrem DNS als TXT-Eintrag, der eine Liste der autorisierten Sendequellen für Ihre E-Mails enthält.
- TLS-RPT
SMTP-TLS-Berichte (TLS-RPT) sind ein zusätzlicher Berichtsmechanismus, der zusammen mit MTA-STS konfiguriert wird, um Domaininhabern Benachrichtigungen in Form von JSON-Berichten über Zustellbarkeitsprobleme aufgrund von Fehlern bei der TLS-Verschlüsselung zwischen zwei kommunizierenden E-Mail-Servern zu senden.
- DKIM CNAME-Einträge
CNAME-Einträge erstellen Domainnamen-Aliase, die von einer Domain auf eine andere verweisen. Sie können CNAME verwenden, um eine Subdomain auf eine andere Domain zu verweisen, die alle Informationen und Konfigurationen für die Subdomain enthält.
Zum Beispiel kann die Subdomäne mail.domain.com ist ein Alias für CNAME info.domain.com. Wenn ein Server also nachschaut mail.domain.com aufruft, wird er weitergeleitet zu info.domäne.com.
Ihr DKIM Authentifizierungssystem wird dem DNS häufig als CNAME-Eintrag hinzugefügt.
Jeder dieser Einträge enthält wertvolle Informationen über die Domäne Ihres Unternehmens, E-Mail-Daten, IP-Adressen und Quellen für den E-Mail-Versand. Syntaxfehler, die Sie oft übersehen, können zu "Dangling Records" führen, die lange Zeit unentdeckt bleiben können. Eine Domäne, die vom Host eingestellt wurde und auf die ein DKIM-CNAME- oder SPF-Eintrag verweist, kann ebenfalls die gleichen Probleme verursachen.
Anmerkung: Es ist wichtig zu beachten, dass MX-, NS-, A- und AAA-Einträge ebenfalls anfällig für Dangling DNS-Probleme sind. In diesem Artikel haben wir nur die E-Mail-Authentifizierungsdatensätze behandelt, die diese Auswirkungen haben, und Lösungen zu ihrer Behebung angeboten.
Wie findet man verhedderte DNS-Einträge?
Die Identifizierung von DNS-Einträgen, die auf nicht bereitgestellte Ressourcen im Anfangsstadium verweisen, kann zum Schutz Ihrer Marke beitragen. Dafür gibt es zwei Möglichkeiten: manuell und automatisch.
1. Manuelle Erkennung von Dangling DNS
Eine manuelle Prüfung ist zwar zeitaufwändig, kann aber helfen, veraltete DNS-Einträge aufzudecken:
- Überprüfen Sie Ihre DNS-Einträge: Überprüfen Sie alle DNS-Einträge in Ihrem DNS-Verwaltungssystem mit den aktiven Ressourcen in Ihrer Umgebung. Suchen Sie nach Einträgen, die auf nicht existierende Dienste oder IPs verweisen.
- Überprüfen Sie DNS-Konfigurationen: Verwenden Sie Tools wie nslookup oder dig um jeden Datensatz abzufragen und zu überprüfen, ob die entsprechende Ressource bereitgestellt wird und aktiv ist.
- Prüfen Sie auf verwaiste Dienste: Untersuchen Sie Dienste wie Drittanbieter-Hosting, Cloud-Plattformen oder CDN-Anbieter, die möglicherweise gekündigt wurden, ohne die zugehörigen DNS-Einträge zu entfernen.
Manuelle Methoden sind zwar gründlich, aber anfällig für menschliche Fehler und können bei Domänen mit großen oder komplexen DNS-Konfigurationen unüberschaubar werden.
2. Automatisierte Erkennung von Dangling DNS
Ein DNS-Überwachungstool kann sich unter diesen Umständen als nützlich erweisen. Betrachten Sie es als einen Dienstplan für Ihre Domains und Subdomains, d. h. eine Plattform, die alle relevanten Daten übersichtlich zusammenfasst und von Zeit zu Zeit leicht überwacht werden kann.
PowerDMARC macht genau das. Wenn Sie sich für unser Domain-Monitoring-Tool anmelden, bieten wir Ihnen Zugang zu einem benutzerdefinierten Dashboard, das alle Ihre registrierten Root-Domains zusammenfasst. Unsere brandneue Funktion kann jetzt automatisch vom System erkannte Subdomains für Benutzer hinzufügen, ohne dass diese eine manuelle Registrierung vornehmen müssen.
Prüfen Sie die Einträge Ihrer Domain kostenlos!
Wenn Sie sich nicht für einen Vollzeitdienst zur Überwachung Ihrer Domäne entscheiden möchten, können Sie Ihre Domain überprüfen mit Hilfe unseres PowerAnalyzer-Tools überprüfen. Es ist kostenlos! Sobald Sie Ihren Domainnamen eingeben und auf "Jetzt prüfen" klicken, können Sie alle Ihre DNS-Eintragskonfigurationen sowie alle erkannten Fehlkonfigurationen mit Tipps zur schnellen Behebung einsehen.
- Was ist BIMI? Ihr vollständiger Leitfaden für die Anforderungen und die Einrichtung des BIMI-Logos - 21. April 2025
- Absenderregeln für Massen-E-Mails für Google, Yahoo, Microsoft und Apple iCloud Mail - 14. April 2025
- E-Mail-Salting-Angriffe: Wie versteckter Text die Sicherheit umgeht - 26. Februar 2025