Re: postfix sendet mails an t-online.de und aol nicht
Nabend,
Am Montag, den 18.12.2006, 18:46 +0100 schrieb Ulf Volmer:
> Also nochmal die Zusammenfassung:
>
> Wenn ich eine Verbindung zu $ONLINEBANKING machenmoechte, frage ich
> _meinen_ DNS nach der IP-Adresse. Dieser fragt dann den _zustaendigen_
> DNS- Server und packt die IP-Adresse in _meinen_ Cache. Dort bleibt
> sie solange, wie das der zustaendige DNS- Betreiber vorgesehen hat.
>
> Von staendigen Anfragen kann also kaum die Rede sein.
Das eine bereits erfolgte Abfrage sowieso lokal gecached wird (werden
sollte), ist klar, aber Du rufst ja nicht den ganzen Tag die gleiche
Adresse ab.
Dein ISP wird ja auch selbst Cachen, d.h. wenn ein anderer Kunde vor
Kurzem auch eine Verbindung zu $ONLINEBANKING gemacht hat, ist der
Eintrag evtl. schon im ISP-Cache und die Abfrage bei root- und
Original-DNS entfällt. D.h. umso größer Dein ISP ist, umso größer und
aktueller ist auch sein Cache. Wenn Du ihn umgehst, umterminierst Du
dieses Prinzip allerdings. So hatte ich das jedenfalls immer verstanden,
oder liege ich da vllt. falsch?
> Hier im Thread war jemand aktuell von dem Problem betroffen, das der
> Cache des Providers "vergiftet" war. Ob das nun an einer
> Fehlkonfiguration oder an krimineller Energie lag, laesst sich nicht
> sicher feststellen.
>
> Aber letzteres ist geradezu trivial einfach.
Das mag sein, diese Problematik allerdings durch eine Umgehung des
ISP-Caches zu lösen, halte ich insgesamt für kontraproduktiv. Umso mehr
Leute ihn nutzen, umso schneller fällt ein Manipulation ja auf. Bei
Sicherheitsaspekten, wie z.B. im obigen Fall des Internetbanking (das
hoffentlich nicht nur durch die Verwendung der korrekten IP-Adresse
abgesichert ist) böte sich vllt. eher an die IP(s) in die hosts-Datei zu
hauen, so kann man jede externe Abfrage zuverlässig umgehen.
> >"Drastisch" trifft schon zu wenn man es um den Zusatz "wenn das
jeder so
> > macht" ergnzt.
>
> Das DNS sieht es aber genauso vor, dass jeder es machen _koennte_.
>
>
Tja, zum Glück ist da alles noch nicht so umfassend reglementiert wie in
deutschen Gesetzesbüchern. Wenn aber natürlich jeder seine Möglichkeiten
bis zum Anschlag ausreizt, wird das nicht mehr lange so bleiben können.
*winke-winke*
/\\atthias
Reply to: