DNS-Einträge für Domains - Empfehlungen

[kachiri]

Vermutlich suche ich falsch - ich konnte über Google aber gerade nichts passendes finden.

Ich habe eine Domain bei Netcup. Hinterlegt sind die Standard-DNS-Einstellungen mit ein paar Anpassungen für den E-Mail-Verkehr (läuft über Mailbox). Die Domain ist keinem Hosting zugewiesen.

Aktuell werden also alle Subdomains auf IP X durchgeschleift. Und natürlich auch die Hauptdomain.
Mein Gedanke ist jetzt diesen Eintrag zu löschen, weil ich gar nicht will, dass alle möglichen *.domain.de-Adressen in irgendeiner Form aufrufbar sind.
Sprich ich will nur die Hauptdomain und klar definierte Subdomains nutzen. Alle anderen Domains führen quasi ins leere.

Komme ich da mit einem Ansatz ans Ziel?

 

[azereus]

ja
(könntest den catchall auf 8.8.8.8 umleiten oder 127.0.0.1 oder dir sonstige späße erlauben)

 

[realrowi]

Vermutlich suche ich falsch - ich konnte über Google aber gerade nichts passendes finden.

Mein Gedanke ist jetzt diesen Eintrag zu löschen, weil ich gar nicht will, dass alle möglichen *.domain.de-Adressen in irgendeiner Form aufrufbar sind.
Sprich ich will nur die Hauptdomain und klar definierte Subdomains nutzen. Alle anderen Domains führen quasi ins leere.

Komme ich da mit einem Ansatz ans Ziel?

Wildcard-Einträge im DNS sind immer Murks (ist offenbar ein unter Webmastern als tolle Idee weit verbreiteter Tipp und zeugt von wenig DNS-Knowhow) und es gibt sogar ein RFC, wo explizit davon abgeraten wird, solche Einträge zu setzen.
Von daher ist dein Ansatz durchaus korrekt. Sprich jeder Domäne und Subdomäne einen eigenen Eintrag im DNS verpassen und diesen *.domäne.de Eintrag zügig zu löschen.

 

[qiller]

und diesen *.domäne.de Eintrag zügig zu löschen.

Joar. Ich wusste nicht mal, dass sowas möglich ist. Hatte mir bisher kein Hostingprovider so explizit angeboten. Eigentlich willst du nur die Hauptdomain und genau definierte FQDN-Hostnamen (bzw. bei größeren Unternehmen/Organisationen auch aufgeteilt in Subdomains) haben, also sowas wie

• domain.de
• www.domain.de (meist dieselbe IP wie domain.de)
• mail.domain.de
• usw.

Wie läuft das eigentlich ab. DNS-Client fragt nach xyz-gibts-nicht.domain.de, DNS-Server stellt fest, "xyz-gibts-nicht" gibt es nicht und gibt dann anstatt NX Domain einfach die IP-Adresse von *.domain.de zurück?

 

[CoMo]

Da bin ich auch schon reingerannt. Unverständlich, warum Netcup da einfach solche dämlichen Wildcard-Einträge setzt. Ist immer das erste, was ich rauswerfe.

 

[gaym0r]

es gibt sogar ein RFC, wo explizit davon abgeraten wird, solche Einträge zu setzen.

Wäre mir neu, welcher RFC ist das?

DNS-Client fragt nach xyz-gibts-nicht.domain.de, DNS-Server stellt fest, "xyz-gibts-nicht" gibt es nicht und gibt dann anstatt NX Domain einfach die IP-Adresse von *.domain.de zurück?

Dein DNS-Server fragt beim DNS-Server, der für die Domain zuständig ist und dieser gibt dir einfach die Adresse zurück, die hinter dem Wildcard liegt. Du und dein DNS-Server kriegen quasi gar nicht mit, dass die Subdomain nicht existiert.

 

[kachiri]

Schon einmal ein dickes Danke. Dann mal direkt den Wildcard-Eintrag rausgelöscht. Ich weiß gar nicht mehr, wie es bei meinem alten Provider war, bevor ich zu Netcup umgezogen bin. Habe die DNS-Einträge dann einfach kaum mehr hinterfragt und nur die für mich relevanten bei Bedarf angepasst...
Nur gestört hat es mich seitdem schon immer, dass quasi jede Subdomain tatsächlich auch zumindest theoretisch erreichbar war. Auch wenn es dann nur, wenn man den Zertifikatsfehler ignoriert hat, die "Hier entsteht eine neue Webseite"-Seite angezeigt wurde.

 

[h00bi]

Unverständlich, warum Netcup da einfach solche dämlichen Wildcard-Einträge setzt.

Damit, wenn du eine neue Subdomain auf deinem Webspace einrichtest, diese sofort funktioniert.
Damit erspart man sich Support Tickets weil die Kunden keine 2-5 Minuten abwarten können.

Zudem ist Wildcard Pflicht, wenn du ein Wildcard Zertifikat haben willst.

Richtest du dann eine Subdomain auf einem anderen Server ein, hast du natürlich den Nachteil, dass evtl. beim ersten Aufruf noch die IP aus der Wildcard gecached wird und jeder weitere aufruf dann erstmal ebenfalls falsch endet.

 

[qiller]

Zudem ist Wildcard Pflicht, wenn du ein Wildcard Zertifikat haben willst.

Hm, also das kann ich so nicht bestätigen, zumindest nicht, was Letsencrypt angeht.

 

[realrowi]

Wäre mir neu, welcher RFC ist das?

Ist schon ein paar Jahre her, als ich mich damit befassen musste, aber es war glaube ich rfc 1912 wo von der Nutzung von Wildcard-Einträgen gewarnt wurde. Sollte aber bei ein wenig Nachdenken, was alles so passieren kann, wenn ein A-Record ein Wildcard-Eintrag ist, auch so einleuchten, dass es bessere Ideen gibt.

 

[RedPanda05]

Sollte aber bei ein wenig Nachdenken, was alles so passieren kann, wenn ein A-Record ein Wildcard-Eintrag ist, auch so einleuchten, dass es bessere Ideen gibt.

Kannst du das weiter ausführen? Würde mich wirklich interessieren

 

[kachiri]

Zudem ist Wildcard Pflicht, wenn du ein Wildcard Zertifikat haben willst.

Wobei Wildcard Zertifikate eh nicht geil sind - weil du die manuell erneuern musst. Das läuft dann nicht automatisch. Hat mich auch immer genervt, bis ich endlich mal den Haken beim erneuern rausgenommen habe, als ich die Domain zeitweise auf meinem kleinen 1000er Webspace bei Netcup geparkt hatte.

Aber ja. Ich kann mir vorstellen das es tendenziell eine "Sparmaßnahme" ist, um sich Support Tickets zu ersparen.

 

[h00bi]

Hm, also das kann ich so nicht bestätigen

Ich weiß nicht ob das von R3 oder von certbot kam, jedenfalls musste ich den wildcard bei einem anderen hoster explizit einrichten.
Sinn ergibt es nicht, das stimmt.

Wobei Wildcard Zertifikate eh nicht geil sind - weil du die manuell erneuern musst

Macht npm über certbot und API des Hosters auch automatisch.

 

[kachiri]

Ja gut. Kann man natürlich einrichten. Aber "normale" Zertifikate macht die Oberfläche von Netcup ja schon zuverlässig. Und wie gesagt. Mich hat es eher genervt, dass quasi jede *.domain.de-Adresse auch tatsächlich erreichbar war.

 

[qiller]

Wobei Wildcard Zertifikate eh nicht geil sind - weil du die manuell erneuern musst.

Bei LetsEncrypt musst du über den DNS TXT _acme_challenge Record die Domain authentifizieren. Dann wird auch ein Wildcard-Zerfikat automatisch erneuert. Haben wir ja genau so mit unserm (mit Plesk verwalteten) Server/Domain so laufen. Also alle 3 Monate da manuell rumfummeln, hätt ich gar keine Lust drauf^^.

 

[kachiri]

Den Record musste ich jedes mal manuell neu anpassen.

 

[qiller]

Oh, dann scheint Plesk einem da was abzunehmen. Ich dachte der TXT Eintrag muss nur einmalig angelegt werden und bleibt immer gleich.