Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Dienstag, 21. November 2006, 16:21

BIND-Falle

Eine böse BIND-Wildcard-Falle. Man betrachte sich folgenden Auszug aus einer BIND-Zone:
domain.tld.         IN  MX 10 mail.domain.tld.
mail.domain.tld.    IN  MX 10 mail.domain.tld.

domain.tld.         IN  A     1.2.3.4
*.domain.tld.       IN  A     1.2.3.4
Und nun erweitert man die Zone noch um
domain.tld.         IN  TXT   "v=spf1 mx ~all"
mail.domain.tld.    IN  TXT   "v=spf1 mx ~all"
(der zweite SPF-Eintrag ist normalerweise unsinnig / unnötig, es sei denn, der Kunde will explizit auch mit @mail.domain.tld als Absender versenden)

Und genau da liegt das Problem: Der ggü. dem Wildcard qualifiziertere TXT-Record für mail.domain.tld "greift", es gibt keinen A-Record für mail.domain.tld mehr.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

nighthawk

zugegeben.. ich werde wohl nie auf die idee kommen einen einzelnen txt record fuer einen wildcard a record anzulegen.. aber dennoch klingt das irgendwie interessant. das muesste ich eigentlich gleich mal ausprobieren.

Matthias Bauer

Das heißt, mail.domain.tld wird dann nicht mehr resolved?

Ich fand BIND ja schon immer ziemlich ... unschön. Mittlerweile benutze ich nur noch PowerDNS und hatte damit noch keine Probleme. Außerdem ist der PowerDNS ein gutes Stück schneller, und BIND zonefiles kann er außerdem lesen. Sehr nützliches Ding.

Manuel Schmitt (manitu)

ACK!

Matthias

Aua, das ist aber böse. Ich frage mich nur, ob folgendes ginge:

domain.tld. IN TXT "v=spf1 mx a:mail.domain.tld ~all"

Hans

Hmm, aber es war doch vorher schon ein spezifischerer Eintrag (der MX-Record) vorhanden. Sollte der nicht auch bereits zuvor den Wildcard-Eintrag für mail.domain.tld aufgehoben haben? Wobei es eh einigermaßen sinnlos ist, nen MX für nen Host auf den Host selber zu setzen (außer man hat noch weitere MX-Einträge).

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen