Tag Archives: dns

SPF Einträge zur Spambekämpfung im DNS

Posted on by

Spammer verwenden zum verschicken ihrer Nachrichten in den meisten Fällen Programme, die Absenderadressen auf Basis von Listen dynamisch generieren. Eine solche Liste könnte so aussehen:
Userliste:
mail
info
max.mustermann
contact
terra.tester
mmuster.mann

Domänenliste:
kernel.org
anb-networkz.de
anb-networkz.net
Die Software generiert daraus Absender und Zieladressen, je nach Konfiguration dynamisch. Dies sieht dann wie folgt aus:
info [at] kernel.org
info [at] anb-networkz.net
...
Anschließend versendet die Software die Nachrichten über einen offenen Mailserver (OpenRelay). Dieser versucht die Nachrichten dann an das Zielsystem zuzustellen. Normalerweise sind solche Spam-Server im Internet bekannt und werden in DNS Blacklisten (DNSBL) zusammengefasst. Das Zielsystem sollte nun anhand einer solchen DNSBL prüfen, ob der Quellserver gelistet ist und bei einem Treffer die Verbindung abweisen. Das grundlegende Problem bei dieser Technik ist, dass die Blacklisten niemals alle Server enthalten. Auch sind sie nicht Aktuell, da offene Server ja erst entdeckt und eingetragen werden müssen.
Um genau dies zu umgehen, gibt es SPF. Das Sender Policy Framework, kurz SPF funktioniert wie folgt:

  1. Der Eigentümer einer Domain hinterlegt einen Eintrag im DNS, in welchem die Mailserver für diese Domäne Autorisiert werden.
  2. Der empfangende Mailserver prüft mit einer DNS-Abfrage, ob ein SPF-Eintrag in der Domain des Absenders vorhanden ist.
  3. Ist ein SPF vorhanden,kann der Empfangende Mailserver prüfen ob die IP des Sendenden Mailservers berechtigt ist, unter dieser Absender-Domain Nachrichten zu verschicken.
  4. Ist der sendende Server nicht berechtigt, wird die Nachricht bereits bei der Annahme verworfen oder als “Risiko” eingestuft.
  5. Ist kein SPF vorhanden oder der Mailserver berechtigt Nachrichten unter dieser Domäne zu verschicken, wird die Nachricht normal zugestellt.
  6. Wurde die Nachricht Angenommen aber als Risiko eingestuft, können spätere Filter die Nachricht als Spam markieren.

Es ist mit dieser Technik nicht mehr möglich, Nachrichten unter dem Absender einer Domain über offene Relays an Server mit aktivierter SPF-Prüfung zu verschicken. Ein SPF Eintrag selbst kann im DNS als SPF oder TXT Record angelegt werden. Die meisten Provider bieten die Möglichkeit SPF-Einträge entweder auf Anfrage anzulegen oder bieten eine entsprechende Oberfläche zur Konfiguration.

Mehr dazu gibt es unter http://www.openspf.org

DNS-Problem öffentlich … und nun?

Posted on by

Ja, gute Frage. Das neuste Cache-Poisoning Problem könnte die Records im Cache eines DNS-Servers innerhalb weniger Sekunden umbiegen. Soweit bekannt, haben die meisten Provider, Domainhoster und größere Firmen ihre Systeme bereits gefixt um Angriffe deutlich zu erschwehren. Aber was ist mit den ganzen kleineren Serverbetreibern deren DNS-Zonen auf die Bind9.1.x Server von 2005 Delegiert wurden? ich schätze mal, das 30% dieser Systeme definitiv angreifbar sind. Was passiert, wenn einer dieser Server zb. von einer Gemeinde oder einem Onlineshop betrieben wird? Tickende Zeitbombe. Wurde der DNS-Cache manipuliert, könnte der FQDN sales.domain.tld direkt auf einen Phishing-server zeigen ohne das der Nutzer irgendetwas merkt. Oder wer startet schon für jede IP die er währen einer Browsersession auflöst einen traceroute um herauszufinden wo der eigentliche Server steht? So genau kann man das aber auch nicht sehen. Manche Firmen haben ja zb. dateitausch.firma.tld auf die eigenen Server umgeleitet. Ich kann nur jedem, der in irgend einer Weise DNS nutzt raten, die Patches für sein Betriebssystem schnellstmöglich einzuspielen. Früher oder später wird es sicher prominente Fälle von Cache-Poisoning mithilfe dieser Technik geben.

Details findet ihr hier:
http://www.isc.org/sw/bind/docs/Vulnerability_Discussion.pdf

DNS-Fehler für google.de?

Posted on by

Gestern Nachmittag, gegen 15:00-16:00 Uhr konnte aus irgendwelchen gründen google.de weder über die root noch die Provider DNS-Server aufgelöst werden. Entweder wurde die Domain mal wieder irgendwohin delegiert oder die DNS-Server des Anbieters waren nicht erreichbar. Die US DNS-Server (die übrigens auf andere Server zeigen) haben noch tadellos funktioniert. Auch ein Aufruf über die IP war noch problemlos möglich. Was mich nur immer wieder wundert, es gibt doch ziemlich viele Menschen die das Internet (eigentlich ja ein weltweites IP-Netz) af google (Anbieter verschiedener L5 Dienste) reduzieren. Komisch auch das das Problem scheinbar nur in Deutschland auftrat. Mal sehen was die Presse in den nächsten Stunden/Tagen dazu schreibt.