域名系统是一个分散的命名系统，可用于在互联网上定位各种资源。域名如google.com是人类可读的，不能由计算机解码。因此，为了将这些名称翻译成机器语言，DNS将域名转换为其后续的IP地址。与你的域名相反，你的域名IP是一个数值（例如：101.102.25.22).

把它想象成一个电话簿。在目录中，我们有一个人名列表，旁边是电话号码。这有助于我们将人与他们各自的号码联系起来，使我们更容易联系他们。同样地，DNS帮助将域名翻译成人类难以记住的数字IP地址。DNS虽然是一个非常方便的系统，但经常会有错误的配置，可能导致我们今天要讨论的问题：悬空的DNS配置。

为什么会发生DNS错误配置的情况？

域名系统是与我们想要互动的互联网资源分开配置的。添加到DNS中的DNS记录指向这些资源，帮助我们访问它们。在某些情况下，以前配置的资源可能会被其主机取消配置。例如，一个DNS记录被域名所有者配置为指向一个服务器的IP。这台服务器现在已经不再使用了。该DNS记录现在指向一个不再存在的资源，因此可被称为 "悬空DNS "条目。

悬空的DNS记录。它们是如何形成的？

正如上一节所讨论的，当一个DNS条目指向一个被取消配置的互联网资源时，它被称为悬空的DNS。互联网上的网络犯罪分子总是在寻找这样的DNS条目，因为它们很容易造成信息泄露。其中一些条目可能包含关于域名的敏感信息，成为威胁行为者的数据金矿，使他们从中获益。 

我的电子邮件认证DNS记录是否容易受到DNS悬空问题的影响？

答案是肯定的。以下电子邮件认证记录可能会受到DNS悬空问题的影响。

1.DMARC记录

电子邮件认证协议，如 DMARC是通过向你的DNS添加TXT记录来配置的。除了为你的域名的电子邮件配置一个策略外，你还可以利用DMARC启用一个报告机制，向你发送有关你的域名、供应商和电子邮件来源的大量信息。

2.SPF记录

另一个常用的电子邮件来源验证系统。 SPF以TXT记录的形式存在于你的DNS中，包含你的电子邮件的授权发送源列表。

3.TLS-RPT

SMTP TLS 报告 (TLS-RPT) 是一种额外的报告机制，与MTA-STS一起配置，以 JSON 报告的形式向域名所有者发送通知，说明由于两个通信电子邮件服务器之间的 TLS 加密失败而导致的可送达性问题。

4.DKIM CNAME记录

CNAME记录创建域名别名，将一个域名指向另一个域名。你可以使用CNAME将一个子域指向另一个包含与该子域有关的所有信息和配置的域。 

例如，子域mail.domain.com是CNAMEinfo.domain.com的一个别名。.因此，当一个服务器查找mail.domain.com时它将被路由到info.domain.com.

你的 DKIM认证系统通常作为CNAME记录添加到DNS。 

这些条目中的每一条都包含了关于你的组织域、电子邮件数据、IP地址和电子邮件发送源的宝贵信息。你可能经常忽略的语法错误会导致悬空的记录，而这些记录可能在很长一段时间内都不会被发现。一个被主机停用的域名，如果有DKIM CNAME或SPF记录指向它，也可能导致同样的问题。 

注意：必须注意的是 MX、NS、A和AAA记录也很容易受到Dangling DNS问题的影响. 在这篇文章中，我们只涉及有这些影响的电子邮件认证记录，围绕如何修复它们提供解决方案。

什么是子域接管攻击？

当攻击者检测到一个指向解构资源的悬空的DNS记录时，他立即抓住了这个机会。攻击者接管了悬空的DNS记录所指向的（子）域，从而将整个流量路由到一个攻击者控制的域，并完全访问该域的内容和资源。

你的域名/子域名被攻击者劫持的后续影响。

一个被解构的域名或服务器可能成为攻击者操纵的恶意资源的滋生地，而域名所有者却无法控制。这意味着，攻击者可以完全行使对域名的支配权，以运行非法服务，对毫无戒心的受害者发起网络钓鱼活动，并在市场上恶意诋毁你的组织的良好声誉。 

检测你的错误配置的DNS记录 

识别那些在初创阶段就指向未配置资源的DNS记录可以帮助保护你的品牌。在这种情况下，一个DNS监控工具可以证明是有用的。把它看作是你的域名和子域名的花名册，也就是说，一个平台以有组织的方式汇集了与它们有关的所有相关数据，可以很容易地不时监测。 

权力管理机构就是这样做的。当你注册我们的域名监控工具时，我们为你提供了一个定制的仪表板，该仪表板集合了你所有注册的根域名。我们全新的功能现在可以为用户自动添加系统检测到的子域，甚至不需要他们去手动注册。 

免费检查你的域名的记录!

如果你不想承诺为你的域名监测提供全职服务，你可以做一个快速的 域名分析在我们的PowerAnalyzer工具的帮助下。它是免费的!一旦你输入你的域名并点击 "现在检查"，你将能够查看你所有的DNS记录配置，以及任何检测到的错误配置，并提示如何快速解决它们。

• 关于
• 最新文章

Yunes Tarada

Yunes 是 PowerDMARC 的运营团队负责人，拥有电子邮件验证和安全方面的专业知识。Yunes 是微软认证的 Azure 管理员助理，并获得了 CompTIA A+ 等认证。

Yunes Tarada 的最新帖子(查看全部)

• SPF 软失效与硬失效：有什么区别？- 2024 年 4 月 26 日
• 美国联邦贸易委员会报告称电子邮件是冒充欺诈的热门媒介- 2024 年 4 月 16 日
• SubdoMailing 和子域名网络钓鱼的兴起- 2024 年 3 月 18 日