Система доменных имен - это децентрализованная система именования, которая может использоваться для определения местонахождения различных ресурсов в Интернете. Доменные имена, такие как google.com являются человекочитаемыми и не могут быть расшифрованы компьютерами. Поэтому, чтобы перевести эти имена на машинный язык, DNS преобразует доменные имена в их последующие IP-адреса. В отличие от доменного имени, IP-адрес вашего домена представляет собой числовое значение(например, 101.102.25.22).

Подумайте об этом как о телефонном справочнике. В справочнике есть список имен людей, рядом с которыми указаны номера телефонов. Это помогает нам ассоциировать человека с соответствующим номером, что облегчает нам контакт с ним. Аналогичным образом DNS помогает переводить доменные имена в числовые IP-адреса, которые человеку трудно запомнить. DNS, хотя и является очень удобной системой, часто может иметь неправильную конфигурацию, что может привести к проблеме, о которой мы сегодня поговорим: висячие конфигурации DNS.

Почему происходят неправильные конфигурации DNS?

Система доменных имен настраивается отдельно от интернет-ресурса, с которым мы хотим взаимодействовать. Записи DNS, добавленные в DNS, указывают на эти ресурсы, помогая нам получить к ним доступ. В некоторых случаях ранее настроенный ресурс может быть деконфигурирован его владельцем. Например, DNS-запись была настроена владельцем домена для указания на IP-адрес сервера. Теперь этот сервер больше не используется. Запись DNS теперь указывает на ресурс, который больше не существует, и поэтому ее можно назвать "висящей записью DNS".

Висячие записи DNS: Как они образуются?

Как говорилось в предыдущем разделе, когда запись DNS указывает на деконфигурированный интернет-ресурс, она называется висящей DNS. Киберпреступники в Интернете всегда охотятся за такими DNS-записями, поскольку они подвержены утечке информации. Некоторые из этих записей могут содержать конфиденциальную информацию о домене, становясь золотой жилой для субъектов угроз. 

Подвержены ли мои DNS-записи аутентификации электронной почты проблемам с висячими DNS?

Ответ - да. Следующие записи проверки подлинности электронной почты могут быть уязвимы к проблемам с висячими DNS:

1. Запись DMARC

Протоколы аутентификации электронной почты, такие как DMARC настраиваются путем добавления TXT-записи в DNS. Помимо настройки политики для электронной почты вашего домена, вы также можете использовать DMARC для включения механизма отчетности, который будет отправлять вам множество информации о ваших доменах, поставщиках и источниках электронной почты.

2. SPF-запись

Еще одна широко используемая система проверки источников электронной почты, SPF существует в вашем DNS в виде TXT-записи, содержащей список авторизованных источников отправки вашей электронной почты.

3. TLS-RPT

Отчеты SMTP TLS (TLS-RPT) - это дополнительный механизм отчетов, настраиваемый вместе с MTA-STS для отправки владельцам доменов уведомлений в виде JSON-отчетов о проблемах с доставкой из-за сбоев в TLS-шифровании между двумя взаимодействующими почтовыми серверами.

4. DKIM CNAME записи

Записи CNAME создают псевдонимы доменных имен для указания одного домена на другой. Вы можете использовать CNAME для указания поддомена на другой домен, который содержит всю информацию и конфигурации, относящиеся к поддомену. 

Например, поддомен mail.domain.com является псевдонимом для CNAME info.domain.com. Следовательно, когда сервер ищет mail.domain.com он будет перенаправлен на info.domain.com.

Ваш DKIM Система аутентификации часто добавляется в DNS в виде записи CNAME. 

Каждая из этих записей содержит ценную информацию о домене вашей организации, данных электронной почты, IP-адресах и источниках отправки электронной почты. Синтаксические ошибки, которые вы часто не замечаете, могут привести к появлению висячих записей, которые могут оставаться незамеченными в течение длительного времени. Домен, который был прекращен хостом с DKIM CNAME или SPF записью, указывающей на него, также может вызвать те же проблемы. 

Примечание: Важно отметить, что записи MX, NS, A и AAA также подвержены проблемам Dangling DNS. В рамках данной статьи мы рассмотрели только те записи аутентификации электронной почты, которые имеют такие последствия, и предложили решения, как их исправить.

Что такое атака с захватом поддомена?

Когда злоумышленник обнаруживает висячую запись DNS, указывающую на деконфигурированный ресурс, он немедленно использует этот шанс. Злоумышленник захватывает (под)домен, на который указывает висячая запись DNS, и таким образом направляет весь трафик на контролируемый злоумышленником домен с полным доступом к содержимому и ресурсам домена.

Последующие последствия захвата вашего домена/поддомена злоумышленником:

Деконфигурированный домен или сервер может стать питательной средой для вредоносных ресурсов, которыми манипулирует злоумышленник и которые владелец домена не контролирует. Это означает, что злоумышленник может полностью использовать доменное имя для оказания незаконных услуг, запуска фишинговых кампаний для ничего не подозревающих жертв и подрыва доброго имени вашей организации на рынке. 

Обнаружение неправильно настроенных записей DNS 

Выявление записей DNS, указывающих на ресурсы, которые не были предоставлены на стадии зарождения, может помочь защитить ваш бренд. Инструмент мониторинга DNS может оказаться полезным в таких обстоятельствах. Рассматривайте его как реестр для ваших доменов и субдоменов, т.е. как единую платформу, которая собирает все необходимые данные, относящиеся к ним, в организованной форме, которую можно легко отслеживать время от времени. 

PowerDMARC делает именно это. Когда вы подписываетесь на наш инструмент мониторинга доменов, мы предоставляем вам доступ к индивидуальной приборной панели, на которой собраны все ваши зарегистрированные корневые домены. Наша новая функция теперь может автоматически добавлять обнаруженные системой поддомены для пользователей без необходимости их ручной регистрации. 

Проверьте записи вашего домена бесплатно!

Если вы не хотите брать на себя обязательства по постоянному обслуживанию мониторинга вашего домена, вы можете провести быстрый анализ домена с помощью нашего инструмента PowerAnalyzer. Это бесплатно! После того как вы введете имя вашего домена и нажмете кнопку "Проверить сейчас", вы сможете просмотреть все конфигурации ваших DNS-записей, а также все обнаруженные неправильные конфигурации с советами по их быстрому устранению.

• О сайте
• Последние сообщения

Юнес Тарада

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

• Объяснение кодов ошибок SMTP Yahoo - 1 мая 2024 г.
• SPF Softfail и Hardfail: В чем разница? - 26 апреля 2024 г.
• ФТК сообщает, что электронная почта является популярным средством мошенничества, выдающего себя за человека - 16 апреля 2024 г.