Montag, 8. November 2010, 12:14
Default-Reverse-DNS-Einträge oder nicht?
Eine Frage an alle, die sich in der Materie fitt fühlen und ihre Meinung kundtun bzw. Wünsche äußern möchten: Wer von Euch (primär Systemadministratoren) ist pro und wer contra Default-Reverse-DNS-Einträge?
Konkret meine ich damit, ob von uns für statische IP-Adressen von (Server- und DSL-)Kunden ein Reverse-DNS-Eintrag vergeben werden sollte, sofern der Kunde keinen eigenen Eintrag setzt (z.B. wie derzeit in der Form
Über einen regen Austausch würde ich mich freuen!
Konkret meine ich damit, ob von uns für statische IP-Adressen von (Server- und DSL-)Kunden ein Reverse-DNS-Eintrag vergeben werden sollte, sofern der Kunde keinen eigenen Eintrag setzt (z.B. wie derzeit in der Form
4.3.2.1.dsl.manitu.net bzw. 4.3.2.1.server.manitu.net).Über einen regen Austausch würde ich mich freuen!
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
TM
Als Admin und Supporter in einem größeren IRC-Netz (GameSurge) ärgere ich mich regelmäßig über nicht resolvende Hosts: Bei uns wird standardmäßig der (höchstwahrscheinlich) statische Teil des Hosts bei Logins geprüft und wenn er sich ändert (neuer Provider etc.) muss man den neuen Host per Email-Bestätigung hinzufügen. Wenn IPs nun prinzipiell nicht resolven wird xxx.yyy.*.* hinzugefügt was ja auch ok ist aber wenn ein Provider nicht alle IPs aus demselben /16 vergibt gibt es Probleme für den User.
Weiterhin erkennt man am Reverse-Host meistens schnell um welchen Provider aus welchem Land es sich handelt - klar, ein whois auf die IP wäre sauberer aber dauert länger und ist wenn man z.B. nur sehen will ob der User der gerade in den Channel gekommen ist ein potentieller Botnet-Bot ist (90% dieser Bots im IRC kommen von ISPs ohne funktionierenden Reversedns die aus gewissen Ländern kommen).
Noch schlimmer sind übrigens ISPs wo der Reverse-DNS funktioniert aber der Host dann nicht mehr zurück zur IP resolved...
Christoph
Internet standards documents (RFC 1033, RFC 1912 Section 2.1) specify that "Every Internet-reachable host should have a name" and that such names match with a reverse pointer record.
In der Realität sieht es meist anders aus. Als guter Provider gehört es aber einfach dazu.
Enrico
Da ist ein Default-PTR, der zumindest resolved immer besser als gar keiner.
Was spricht denn GEGEN den Default-PTR?
Phillipp Röll
Das ist ein must have!
Peter
Jürgen Jaritsch
Andre/STB
skub
Ich bin auf jeden Fall gegen einen Default Reverse-Record für Server. Bei DSL Kunden kann ich nachvollziehen das man sowas vieleicht als Default-Wert setzt weil der Kunde (technisch) nicht in der Lage ist dafür einen Wert zu definieren. Aber auch hier finde ich den Wert nicht hilfreich, es ist schlicht RFC konform einen PTR zu setzen (SHOULD).
Für Server sollte zumindest die Möglichkeit bestehen diesen Default-Eintrag wieder zu "abzubestellen". Ich will das bei meinem Server ein sauberes NXDOMAIN bei der Suche nach einem PTR als antwort kommt. Ich fahre forward (A) verschiedene Namen und möchte keine Rückschlüsse auf die Web-Instanzen ziehen lassen.
Mir stellt sich ausserdem die Frage: Wenn es dann aber einen "generierten-RR" gibt muss ich den auch in meiner Webserverconfig oder meinen SSL-Certs vorsehen? Schließlich wird er doch auch forward als A-Record angeboten...
Als A-Record genutzt würde der Name im Falle von SSL-Diensten also einen häßlichen Fehler liefern.
Die genannten Gründe "Pro-Default-RR" kann ich alle nicht nachvollziehen.
Eine "Outgoing-SMTP" IP muss selbstverständlich einen DNS-Namen haben. Aber auch hier muss es ein "vernünftiger" Name sein. PTRs die nach "dynamisch" ausschauen, also die IP Dezimal oder Hexadezimal im Namen kodiert haben werden bewusst von vielen Mailservern als Spam deklariert oder schlecht gescored. Das ist auch gut so. Es deutet schließlich auf einen dynamischen Adressbereich hin und mag je nach Anforderung ein hinreichendes Kriterium für Spam sein.
Reverse-Records als "Security-Feature" wie auch immer zu nutzen halte ich allerdings für grob fahrlässig! Macht das nicht! Wer meint seinem MySQL- oder IRC-Diensten damit auchnur ein µ an zusätzlicher "authentifizierung" zu spendieren versteht nicht was da technisch passiert! Der Text in der Reverse-Antwort bleibt schlicht nicht vertrauenswürdig - den kann jeder Besitzer des Netzes (/der IP) frei festlegen.
Das ist ganz wichtig das man das vor augen hat wenn man die PTR-Antwort sieht. Aus diesem Grund ist es auch nicht besonders ratsam in security-kritischen Logfiles die IPs in DNS-Namen auflösen zu lassen, ein Angreifer kann euch da sonstswas in die Logfiles reinschreiben und keiner merkt was.
Und zu guter letzt: Meinen Hoster kann man sich auch gerne im whois anschauen.
Als guter provider braucht man seine Kunden nicht bevormunden
Gruß, skub
TM
MOW
Ein SSL-Cert mußt Du für den Namen auch nur bauen, wenn unter dem was erreichbar ist. Das bezieht sich ja auf nen Namen, nicht auf die IP. Die anderen Certs auf dem Host enthalten sich doch auch nicht gegenseitig, oder?
Und was interessiert es Dich, ob es beim Zugriffsversuch auf den Host einen Fehler gibt? Beim direkten Zugriff über die IP tritt doch eh das gleiche Problem auf. Genauso wie bei antiken Browsern, die noch keine virtuellen Hosts unterstützen
Wenn ein PTR static im Namen hat, wird der Host von der dynbl iirc nicht geblockt. Aber ich kann es verstehen, wenn manitu nicht verraten möchte, ob eine IP statisch oder dynamisch vergeben wurden.
MySQL und IRC wurden hier nicht als Beispiele für Authentifizierung angeführt, sondern für Dienste, bei denen der Verbindungsaufbau durch das Warten auf den Timeout verzögert wird.Gilt auch noch für etliche andere. Und in logs sollte sowieso beides auftauchen.
anonym-korrigierer schrieb
1) DSL: Es muss einen Default-RR geben, denn ein User weiß gar nicht was er da setzen kann/darf/soll. Wenn er das selber überschreiben kann, dann soll er es tun, sofern er weiß wozu er das macht. Und wie schon erwähnt ist es für alle Beteiligten einfacher/schöner, wenn es einen RR gibt.
2) Server: Es sollte KEINEN Default-RR geben. Ein Admin muss so oder so die Forward-DNS-Einträge setzen, da kann er auch gleich den Reverse-DNS-Eintrag setzen. Wenn er da überfordert ist, dann darf er sich auch nicht Admin nennen. Es hat nur einen schönen entscheidenden Vorteil KEINEN RR zu haben:
Wenn man dann nämlich einen RR setzt, dann ist der schneller im DNS propagiert, als wenn man einen Default-RR "korrigiert". Denn ein Default-RR hat immer eine höhere TTL als keiner.
Kai Fett
Sebastian
Zum Einen gibt es immer mehr "merkwürdig" administrierte Server, die schlicht in ein Timeout laufen, wenn ein Reverse-Lookup in die Hose geht. (Ein netter Nebeneffekt, wenn man von der Desktop-Distribution mit mDNS die /etc/nsswitch.conf übernimmt und fröhlich den mDNS-Dienst löscht) Dann dauert der Aufruf einer Webseite u.U. sehr lange - was für den Nutzer schwer nachvollziehbar ist und einfach nur "nervt".
Zum Anderen nutzen Mail-Server den Reverse-Eintrag dazu, um DSL-Anschlüsse zu erkennen.
Für Server ist es eigentlich egal:
Für SMTP-Server ist es Pflicht, einen vernünftigen Reverse-Eintrag zu setzen - da hilft dann auch der Standard-Eintrag nicht, weil er die IP-Adresse als Text enthält und somit bei vielen Servern als "DialUp"-IP erkannt wird.
Jürgen Jaritsch
muh-muh
Da der fDNS aus einer Datenbank generiert wird, wird auch automatisch der reverseDNS dazu gebildet. Server mit reiner IP gibts so nicht, da die schon zur internen Unterscheidung einen Namen haben. Kundennamen haben beim reverseDNS Vorrang vor unseren Namen, und schon ist alles gut.