DANE Monitoring with posttls-finger in XYMON

Here is a small experimental XYMON client script for checking maildomains validation via DANE.

The script requires Viktor Dukhovnies tool posttls-finger to test DANE enabled servers. posttls-finger comes with Postfix 2.11.x, but it might not always be bundled with your distribution, since it has been marked expermental. This …

Continue reading

Einen TLSA-Record für DANE mit BIND 9 publizieren

DANE-Sicherheit ist derzeit in aller Munde. Mittels DANE (DNS[SEC]-based Authentiction of Named Entities) können SSL/TLS-Zertifikate abgesichert werden. In diesem Artikel geht es um die DNS-Server-Seite von DANE, das Publizieren eines TLSA-Records.

Bemerkung

Patrick hat in DNSSEC für Mailserver richtig einrichten die Client-Seite der DNSSEC-Einrichtung beschrieben.

DANE funktioniert …

Continue reading

DNSSEC für Mailserver richtig einrichten

E-Mail ohne DNS ist kaum vorstellbar. Nahezu alle E-Mail-Routing-Entscheidungen basieren auf Informationen, die der Mailserver durch DNS-Abfragen erlangt hat. Umso erstaunlicher ist, dass viele gerade bei der DNS-Abfrage keinen besonderen Wert darauf legen, mit Sicherheit vertrauenswürdige Routing-Informationen zu erhalten. Was ist, wenn ein Angreifer per MITM-Attacke das DNS fälscht und …

Continue reading

E-Mail fehlerhafter Nameserver ablehnen II

Andreas Schulze (DATEV) hat mir, in Reaktion auf meinen jüngsten Artikel, seine Liste von Bogus-Sendern zugesendet. Er schreibt dazu: "Wenn Name- oder MX-Server IP-Adressen haben, die nicht öffentlich erreichbar sind, wird der Empfänger möglicherweise nicht antworten können", und er legt, um das zu verhindern, eine Tabelle reject_bogus_ip.cidr an:

# Quellen …
Continue reading

E-Mail fehlerhafter Nameserver ablehnen

Wir setzen unbound ein, weil wir für DNSSEC einen lokalen Resolver benötigen und weil unbound einfach gut ist. Umso erstaunter waren wir alle, als uns logcheck diese Woche mit regelmäßigen Meldungen über unbound-Fehler beim Auflösen von Nameservern beglückte:

System Events
=-=-=-=-=-=-=
Mar 31 04:31:21 mail unbound: [1482:0 …
Continue reading

DNS-Fragment-Angriffe – Zeit für DNSSEC

DNS-Fragment-Angriffe

Der ein oder andere erinnert sich vielleicht noch an den Sommer 2008 – in DNS-Fachkreisen auch als "Summer of Fear" bekannt. Der Sicherheitsexperte Dan Kaminski hatte eine erschreckende Sicherheitslücke im Domain Name System (DNS) gefunden: mittels eines statistischen Effekts und klug gewählter DNS-Antwort-Pakete war es Angreifern möglich, innerhalb sehr kurzer …

Continue reading

Rate Limiting in DNS mit BIND9

Mein Monitoring meldete dieser Tage, dass es einen DIG-Check eines extern gehosteten DNS-Servers zeitweise nicht durchführen konnte. Die Ursache war Überlastung. Deshalb habe ich nun Rate Limit in BIND9 eingeführt. Dieser Artikel gibt dazu eine kleine Einführung.

Ich kann an dieser Stelle nicht alle Aspekte eines DNS-Setups mit BIND9 erörtern …

Continue reading

DNS requests dropped at the firewall

My customer saw a very strange behaviour of DNS packets. Some of the packets where dropped at the firewall. Since this caused a short delay I was asked to do some analysis. It turned out I had to debug an IPv4/IPv6 glibc problem. But first things first…

What happened …

Continue reading