Ein Aspekt am neuesten VeriSign-Schwachsinn, über den ich erst durch Haiko Hebig gestolpert bin, ist die Mailzustellung für nicht-existente Domains. Hier mal eine Analyse was mit einer nicht existenten Domain passiert:
muenster:~# exim -bt gb@blubberfaselblubb.com gb@blubberfaselblubb.com deliver to gb@blubberfaselblubb.com router = lookuphost, transport = remote_smtp host blubberfaselblubb.com [64.94.110.11]
Eine Mail wird also ganz normal auf den A-Record (den mit dem Wildcard) geschickt. Was passiert dort? Das kann man hier sehen:
telnet blubberfaselblubb.com smtp Trying 64.94.110.11... Connected to sitefinder-idn.verisign.com. Escape character is '^]'. 220 snubby3-wceast Snubby Mail Rejector Daemon v1.3 ready HELO blubberfaselblubb.com 250 OK MAIL FROM: blah@blubberfaselblubb.com 250 OK RCPT TO: blah@blubberfaselblubb.com 550 User domain does not exist. DATA 250 OK quit 221 snubby3-wceast Snubby Mail Rejector Daemon v1.3 closing transmission channel Connection closed by foreign host.
Es läuft also ein Mail-Rejector auf der Adresse, der jede Mailzustellung mit 550 - User domain doesn't exist abweist.Etwas Paranoia gefällig? Ja? Ok: es ist trivial, den Mail-Rejector so abzuändern, das er die bei MAIL FROM: gelieferten Absenderadressen der irregeleiteten Mails absammelt und archiviert. Ich sage nicht das VeriSign das macht - aber Wildcard-A-Records an so zentraler Stelle sind ein Missbrauch der darauf wartet zu geschehen ...