All your .com are belong to us :: hebig.org/blog

Ein Aspekt am neuesten VeriSign-Schwachsinn, über den ich erst durch Haiko Hebig gestolpert bin, ist die Mailzustellung für nicht-existente Domains. Hier mal eine Analyse was mit einer nicht existenten Domain passiert:

 muenster:~# exim -bt gb@blubberfaselblubb.com gb@blubberfaselblubb.com deliver to gb@blubberfaselblubb.com router = lookuphost, transport = remote_smtp host blubberfaselblubb.com [64.94.110.11] 

Eine Mail wird also ganz normal auf den A-Record (den mit dem Wildcard) geschickt. Was passiert dort? Das kann man hier sehen:

 telnet blubberfaselblubb.com smtp Trying 64.94.110.11... Connected to sitefinder-idn.verisign.com. Escape character is '^]'. 220 snubby3-wceast Snubby Mail Rejector Daemon v1.3 ready HELO blubberfaselblubb.com 250 OK MAIL FROM: blah@blubberfaselblubb.com 250 OK RCPT TO: blah@blubberfaselblubb.com 550 User domain does not exist. DATA 250 OK quit 221 snubby3-wceast Snubby Mail Rejector Daemon v1.3 closing transmission channel Connection closed by foreign host. 
Es läuft also ein Mail-Rejector auf der Adresse, der jede Mailzustellung mit 550 - User domain doesn't exist abweist.Etwas Paranoia gefällig? Ja? Ok: es ist trivial, den Mail-Rejector so abzuändern, das er die bei MAIL FROM: gelieferten Absenderadressen der irregeleiteten Mails absammelt und archiviert. Ich sage nicht das VeriSign das macht - aber Wildcard-A-Records an so zentraler Stelle sind ein Missbrauch der darauf wartet zu geschehen ...

Hier gibts den Originalartikel.

tags: Sysadmin

delta-c Sept. 17, 2003, 8:04 p.m.

Wobei in den nächsten BIND-Versionen darauf ja schon eingegangen werden soll, vgl. http://www.golem.de/0309/27511.html

hugo Sept. 17, 2003, 8:10 p.m.

Naja, aber auch das ist nur ein Hack - denn Wildcard-A-Records sind ja durchaus was gültiges und wichtiges, nur auf Ebene von TLDs sind sie schlicht Machtmissbrauch, wenn es offizielle TLDs sind. Aber Leute setzen ja auch unter Umständen lokale TLDs auf, bei denen der Wildcard-A-Record dann wieder wichtig wäre. Von daher können die BIND-Programmierer zwar im Moment einen Hack liefern, der VeriSign blockiert, aber die richtige Lösung ist das nicht. Und ändert auch nichts an der Haltung von VeriSign, die eben wieder einmal bewiesen haben, das sie absolut _nicht_ vertrauenswürdig sind ...

delta-c Sept. 18, 2003, 12:06 a.m.

An und für sich völlig d'accord. Nur zeigt der Hack auch auf, daß die macht von Verisign nicht grenzenlos. Weniger in technischer Hinsicht, wohl aber, daß sich zum Einen Öffentlichkeit schaffen läßt (Die kritisch reagiert.) zum Anderen auch, daß sie in der Lage ist zu reagieren. Der Hack kam ja relativ prompt.