DANE Monitoring with posttls-finger in XYMON

Abstract

Monitoring DANE enabled mail servers is important. Testing with posttls-finger and unbound in XYMON is easy. I wrote a little script that does all the magic.

Here is a small experimental XYMON client script for checking maildomains validation via DANE.

The script requires Viktor Dukhovnies tool posttls-finger to test …

Continue reading

Einen TLSA-Record für DANE mit BIND 9 publizieren

Abstract

DANE-Sicherheit ist derzeit in aller Munde. Mittels DANE (DNS[SEC]-based Authentiction of Named Entities) können SSL/TLS-Zertifikate abgesichert werden. In diesem Artikel geht es um die DNS-Server-Seite von DANE, das Publizieren eines TLSA-Records.

DANE-Sicherheit ist derzeit in aller Munde. Mittels DANE (DNS[SEC]-based Authentiction of Named Entities …

Continue reading

DNSSEC für Mailserver richtig einrichten

Abstract

Die Grundlage für DANE over SMTP ist ein DNSSEC-fähiger Resolver. Davon gibt es einige brauchbare, aber es gibt ein paar Stolperfallen zu beachten, damit der Resolver auch wirklich vertrauenswürdige Informationen liefert.

E-Mail ohne DNS ist kaum vorstellbar. Nahezu alle E-Mail-Routing-Entscheidungen basieren auf Informationen, die der Mailserver durch DNS-Abfragen erlangt …

Continue reading

E-Mail fehlerhafter Nameserver ablehnen II

Abstract

Andreas Schulze (DATEV) hat mir, in Reaktion auf meinen jüngsten Artikel, seine Liste von Bogus-Sendern zugesendet. Er schreibt dazu: "Wenn Name- oder MX-Server IP-Adressen haben, die nicht öffentlich erreichbar sind, wird der Empfänger möglicherweise nicht antworten können" und legt, um das zu verhindern, eine Tabelle reject_bogus_ip.cidr an.

Andreas …

Continue reading

E-Mail fehlerhafter Nameserver ablehnen

Abstract

Falsche oder fehlerhafte Angaben zu Nameservern halten den E-Mail-Transport auf. Mit Postfix können wir den Empfang einfach ablehnen.

Wir setzen unbound ein, weil wir für DNSSEC einen lokalen Resolver benötigen und weil unbound einfach gut ist. Umso erstaunter waren wir alle, als uns logcheck diese Woche mit regelmäßigen Meldungen …

Continue reading

BIND 9.10 – Eintauchen in DNSSEC

Abstract

BIND 9.10 ist die neue Version des BIND-9-DNS-Servers von ISC. Von BIND 9.10 ist in dieser Woche die erste Beta-Version erschienen. In loser Folge werde ich hier die Neuerungen in BIND 9.10 vorstellen. BIND 9.10 enthält ein neues Kommandozeilenwerkzeug zum Prüfen von DNSSEC-Installationen. Dieses Tool …

Continue reading

DNS-Fragment-Angriffe – Zeit für DNSSEC

Abstract

Ein neuer Angriff auf das DNS ermöglicht Angreifern, die im Sommer 2008 hinzugefügten Verbesserungen einer damals bekannt gewordenen Schwachstelle zu umgehen. Ein Angreifer kann so DNS-Cache-Einträge mit relativ wenig Aufwand fälschen. In meinem Artikel gehe ich auf die Hintergründe und das aktuelle Bedrohungspotential ein.

DNS-Fragment-Angriffe

Der ein oder andere …

Continue reading

Rate Limiting in DNS mit BIND9

Abstract

Mein Monitoring meldete dieser Tage, dass es einen DIG-Check eines extern gehosteten DNS-Servers zeitweise nicht durchführen konnte. Die Ursache war Überlastung. Deshalb habe ich nun Rate Limit in BIND9 eingeführt. Dieser Artikel gibt dazu eine kleine Einführung.

Mein Monitoring meldete dieser Tage, dass es einen DIG-Check eines extern gehosteten …

Continue reading

DNS requests dropped at the firewall

Abstract

My customer saw a very strange behaviour of DNS packets. Some of the packets where dropped at the firewall. Since this caused a short delay I was asked to do some analysis.

My customer saw a very strange behaviour of DNS packets. Some of the packets where dropped at …

Continue reading