System nazw domen to zdecentralizowany system nazewnictwa, który może być używany do lokalizowania różnych zasobów w Internecie. Nazwy domen, takie jak google.com są czytelne dla człowieka i nie mogą być rozszyfrowane przez komputery. Dlatego, aby przetłumaczyć te nazwy na język maszynowy, DNS przekształca nazwy domen na ich kolejne adresy IP. W przeciwieństwie do nazwy domeny, adres IP domeny jest wartością liczbową(np. 101.102.25.22).
Pomyśl o tym jak o książce telefonicznej. W książce telefonicznej znajduje się lista nazwisk ludzi z umieszczonymi obok numerami telefonów. Pomaga nam to skojarzyć daną osobę z jej odpowiednim numerem, co ułatwia nam kontakt z nią. Podobnie DNS pomaga tłumaczyć nazwy domen na numeryczne adresy IP, które są trudne do zapamiętania przez ludzi. DNS, choć jest bardzo wygodnym systemem, często może mieć błędne konfiguracje, które mogą prowadzić do problemu, o którym będziemy dziś mówić: niedziałających konfiguracji DNS.
Dlaczego dochodzi do błędnych konfiguracji DNS?
System nazw domen jest konfigurowany niezależnie od zasobów internetowych, z którymi chcemy się łączyć. Rekordy DNS dodane do DNS wskazują na te zasoby, ułatwiając nam dostęp do nich. W niektórych przypadkach wcześniej skonfigurowany zasób może zostać zdekonfigurowany przez swojego hosta. Na przykład, rekord DNS został skonfigurowany przez właściciela domeny, aby wskazywał na IP serwera. Serwer ten nie jest już używany. Rekord DNS wskazuje teraz na zasób, który już nie istnieje i dlatego można go określić mianem "dryfującego wpisu DNS".
Wiszące rekordy DNS: Jak powstają?
Jak wspomniano w poprzednim rozdziale, gdy wpis DNS wskazuje na zdekonfigurowany zasób internetowy, jest to tzw. dyndający DNS. Cyberprzestępcy w Internecie zawsze polują na takie wpisy DNS, ponieważ są one podatne na wyciek informacji. Niektóre z tych wpisów mogą zawierać poufne informacje o domenie, stając się kopalnią danych, z której mogą korzystać podmioty stanowiące zagrożenie.
Czy moje rekordy DNS uwierzytelniania poczty elektronicznej są podatne na problemy związane z niedziałającymi DNS?
Odpowiedź brzmi: Tak. Następujące rekordy uwierzytelniania wiadomości e-mail mogą być podatne na problemy z błędami DNS:
1. Rekord DMARC
Protokoły uwierzytelniania poczty elektronicznej, takie jak DMARC są konfigurowane poprzez dodanie rekordu TXT do DNS. Oprócz skonfigurowania polityki dla wiadomości e-mail Twojej domeny, możesz również wykorzystać DMARC do uruchomienia mechanizmu raportowania, który prześle Ci wiele informacji o Twoich domenach, sprzedawcach i źródłach wiadomości e-mail.
2. Rekord SPF
Inny powszechnie stosowany system weryfikacji źródeł poczty elektronicznej, SPF występuje w DNS jako rekord TXT zawierający listę autoryzowanych źródeł wysyłania wiadomości e-mail.
3. TLS-RPT
Raporty SMTP TLS (TLS-RPT) to dodatkowy mechanizm raportowania skonfigurowany wraz z MTA-STS w celu wysyłania właścicielom domen powiadomień w formie raportów JSON o problemach z dostarczalnością spowodowanych awariami szyfrowania TLS między dwoma komunikującymi się serwerami poczty e-mail.
4. Rekordy DKIM CNAME
Rekordy CNAME tworzą aliasy nazw domen w celu wskazania jednej domeny na inną. Można użyć CNAME do wskazania subdomeny na inną domenę, która zawiera wszystkie informacje i konfiguracje dotyczące subdomeny.
Na przykład, subdomena mail.domain.com jest aliasem dla CNAME info.domain.com. Dlatego też, gdy serwer wyszukuje mail.domain.com zostanie przekierowany do info.domain.com.
Twój DKIM jest często dodawany do DNS jako rekord CNAME.
Każdy z tych wpisów zawiera cenne informacje o domenie organizacyjnej, danych poczty elektronicznej, adresach IP i źródłach wysyłania poczty elektronicznej. Błędy składni, które często można przeoczyć, mogą powodować niewykorzystane rekordy, które mogą pozostać niewykryte przez długi czas. Te same problemy może powodować domena, która została usunięta przez hosta ze wskazującym na nią rekordem DKIM CNAME lub SPF.
Uwaga: Ważne jest, aby pamiętać, że rekordy MX, NS, A i AAA są również podatne na problemy związane z niedziałającym DNS. Na potrzeby tego artykułu omówiliśmy tylko te rekordy uwierzytelniania wiadomości e-mail, które mają takie konsekwencje, i zaproponowaliśmy rozwiązania, jak je naprawić.
Co to jest atak przejęcia subdomeny?
Gdy atakujący wykryje niedziałający wpis DNS, który wskazuje na zdekonfigurowany zasób, natychmiast korzysta z okazji. Atakujący przejmuje (pod)domenę, na którą wskazuje błędny rekord DNS, kierując w ten sposób cały ruch do kontrolowanej przez siebie domeny z pełnym dostępem do jej zawartości i zasobów.
Późniejsze skutki porwania domeny/poddomeny przez atakującego:
Zdekonfigurowana domena lub serwer może stać się pożywką dla złośliwych zasobów manipulowanych przez atakującego, nad którymi właściciel domeny nie ma żadnej kontroli. Oznacza to, że osoba atakująca może całkowicie przejąć kontrolę nad nazwą domeny, aby uruchomić nielegalną usługę, przeprowadzić kampanię phishingową na niczego niepodejrzewających ofiarach i naruszyć dobre imię Twojej organizacji na rynku.
Wykrywanie błędnie skonfigurowanych rekordów DNS
Identyfikacja rekordów DNS, które wskazują na nieobsługiwane zasoby w początkowej fazie rozwoju, może pomóc w ochronie marki. Narzędzie do monitorowania DNS może okazać się przydatne w takich okolicznościach. Traktuj je jako spis domen i subdomen, czyli jedną platformę, która gromadzi wszystkie istotne dane dotyczące domen w zorganizowany sposób, który można łatwo monitorować od czasu do czasu.
PowerDMARC właśnie to robi. Po zarejestrowaniu się w naszym narzędziu do monitorowania domen zapewniamy Ci dostęp do dostosowanego do Twoich potrzeb pulpitu nawigacyjnego, który gromadzi wszystkie zarejestrowane domeny główne. Nasza nowa funkcja może teraz automatycznie dodawać wykryte przez system subdomeny dla użytkowników bez konieczności ręcznej rejestracji.
Sprawdź rejestry swojej domeny za darmo!
Jeśli nie chcesz wiązać się z pełnoetatową obsługą monitoringu domen, możesz przeprowadzić szybką analizę domeny. analiza domeny z pomocą naszego narzędzia PowerAnalyzer. Jest ono bezpłatne! Po wprowadzeniu nazwy domeny i kliknięciu na "Sprawdź teraz", będziesz mógł zobaczyć wszystkie konfiguracje rekordów DNS wraz z wykrytymi błędnymi konfiguracjami i wskazówkami, jak szybko je rozwiązać.
- Przedstawiamy oś czasu DNS i historię wyników bezpieczeństwa - 10 grudnia 2024 r.
- PowerDMARC - automatyczne publikowanie DNS jednym kliknięciem z Entri - 10 grudnia 2024 r.
- Jak skonfigurować markową pocztę Apple za pomocą Apple Business Connect - 3 grudnia 2024 r.