Ist ein Wildcard-DNS-Eintrag eine schlechte Praxis?

Ich habe meinen Hoster gebeten, drei Subdomains hinzuzufügen, die alle auf die IP des A-Datensatzes verweisen. Es scheint, als hätte er einfach einen Wildcard-DNS-Eintrag hinzugefügt, da jetzt eine zufällige Subdomain in meine IP aufgelöst wird. Dies ist aus technischer Sicht in Ordnung für mich, da es keine Subdomains gibt, die irgendwo anders hinweisen. Andererseits mag ich es nicht, wenn er nicht tut, wonach ich gefragt habe. Und deshalb frage ich mich, ob es noch andere Gründe gibt, ihm zu sagen, dass er das ändern soll. Sind da irgendwelche?

Der einzige negative Punkt, den ich gefunden habe, ist, dass jemand mit meiner Website verlinkt werden kann http://i.dont.like.your.website.mywebsite.tld.

Wenn Sie jemals einen Computer in diese Domäne versetzen, treten bizarre DNS-Fehler auf. Wenn Sie versuchen, eine zufällige Website im Internet zu besuchen, gelangen Sie stattdessen zu Ihrer.

Bedenken Sie: Sie besitzen die Domain example.com. Sie richten Ihre Workstation ein und benennen sie. ... sagen wir mal yukon.example.com. Jetzt werden Sie feststellen, dass /etc/resolv.confes die folgende Zeile enthält:

search example.com

Dies ist praktisch, da Sie so nach Hostnamen wwwsuchen können, nach denen dann z. B. www.example.comautomatisch gesucht wird . Aber es hat eine Schattenseite: Wenn Sie beispielsweise Google besuchen, wird gesucht www.google.com.example.com, und wenn Sie Wildcard-DNS haben, wird dies auf Ihre Website übertragen. Statt Google zu erreichen, werden Sie auf Ihrer eigenen Website landen.

Dies gilt auch für den Server, auf dem Sie Ihre Website betreiben! Wenn es jemals externe Dienste aufrufen muss, können die Hostnamensuchvorgänge auf die gleiche Weise fehlschlagen. So wird api.twitter.comzum Beispiel plötzlich die api.twitter.com.example.comRoute direkt zu Ihrer Site zurückgeführt und scheitert natürlich.

Aus diesem Grund verwende ich niemals Wildcard-DNS.

Ist ein Wildcard-DNS-Eintrag eine schlechte Praxis?

Persönlich mag ich es nicht. Besonders wenn es Maschinen in dieser Domäne gibt. Tippfehler bleiben unkontrolliert, Fehler sind weniger offensichtlich ... aber es gibt nichts grundlegend Falsches daran.

Das einzige Negative, das ich gefunden habe, ist, dass jemand über http: //i.dont.like.your.website.mywebsite.tld auf meine Website verlinken kann .

Lassen Sie Ihren http-Server alle derartigen Anfragen an die richtigen, kanonischen Adressen umleiten oder antworten Sie überhaupt nicht. Für Nginx wäre das so etwas wie :

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

und dann die reguläre

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

Es ist alles eine Ansichtssache. Für mich ist es keine schlechte Übung.

Ich erstelle eine mandantenfähige App, die eine Datenbank pro Mandant verwendet. Anschließend wird die zu verwendende Datenbank basierend auf der Unterdomäne ausgewählt.

Zum Beispiel milkman.example.comwird die tenant_milkmanDatenbank verwendet.

Wie dies habe ich für jeden Mieter getrennte Tabellen, wie, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, die meiner Meinung nach ist ein sehr großer viel einfacher für diese spezifische Anwendung zu pflegen, anstatt dass alle Benutzer von allen Unternehmen in der gleichen Tabelle.

[edit - Michael Hampton has a good point]

Wenn Sie jedoch keinen bestimmten Grund haben, eine (variable) Unterdomäne zu akzeptieren, wie ich, sollten Sie sie nicht akzeptieren.

Ein weiteres Problem ist die Suchmaschinenoptimierung: Wenn alle *.example.comdenselben Inhalt aufweisen, wird Ihre Website zumindest von Google ( https://support.google.com/webmasters/answer/66359 ) schlecht referenziert .

Dies ist wirklich eine schlechte Idee. Nehmen wir an, Sie möchten eine Subdomäne a.company.com auf einem Webserver hosten, und b.company.com auf einem anderen Webserver kann ein anderer ISP sein. Was du tun wirst ?. Platzhalter-DNS ist also keine Option. Es sollte genau gesagt ein Eintrag für jede Unterdomäne erstellt werden und auf die relevante IP verweisen. Es besteht die Möglichkeit, dass Ihr Webserver von einem ISP auf einen anderen ISP verschoben wird. Was werden Sie in diesem Fall tun?

Ich weiß, dass dies eine alte Frage ist, möchte jedoch ein Beispiel aus der Praxis vorstellen, bei dem die Verwendung von Platzhalterdomänen Probleme verursachen kann. Ich werde jedoch den Domainnamen ändern und auch den vollständigen SPF-Eintrag ausblenden, um Verlegenheit zu sparen.

Ich habe jemandem geholfen, der Probleme mit DMARC hatte, und im Rahmen der Überprüfungen habe ich immer den DMARC-Datensatz mit DIG nachgeschlagen

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

Das gleiche Ergebnis habe ich auch bei der Suche nach dem DKIM-Datensatz erhalten.

Folglich erhalten E-Mails, die von dieser Domäne gesendet werden, einen DKIM-Fehler, da das DKIM-Modul versucht, den SPF-Datensatz nach einem DKIM-Schlüssel zu analysieren, und aus demselben Grund auch einen Permerror für DMARC.

Platzhalter-Domains scheinen eine gute Idee zu sein, aber wenn sie falsch eingerichtet sind, können sie alle möglichen Probleme verursachen.

Ist ein Wildcard-DNS-Eintrag eine schlechte Praxis?

Nein, und im Gegensatz zu anderen halte ich es für eine gute Praxis.

Die meisten Internetnutzer haben irgendwann einen DNS-Namen gefingert. Sie geben ein ww.mycompany.comoder wwe.mycompany.com Was würden Sie lieber tun, wenn "Ups, wir konnten diese Site nicht finden" oder wenn sie Ihre primäre Homepage aufrufen? Oftmals ist es vorzuziehen, wenn sie Ihre primäre Homepage aufrufen. Welches ist, was eine Menge Leute tun.

Selbst wenn jemand einen Link i.dont.like.your.website.whatever.comdarauf setzt, wird Ihre Homepage trotzdem aufgerufen, und genau das ist es, was Sie wollen. Schließlich können sie diese i.dont....Site nicht auf ihren Server übertragen. Sie steuern jedoch das DNS-Routing, damit es auf Ihren Server übertragen wird.

Ich denke, der beste Grund, überhaupt keinen Wildcard-DNS-Eintrag zu haben, besteht darin, die IP-Adresse Ihres Servers nicht an einen potenziellen Angreifer weiterzugeben und die Gefahr von DDOS-Angriffen zu verringern. Dies wird auch von Cloudflare empfohlen: https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/