Verwendung von CNAME-Einträgen für nicht vertrauenswürdige Domänen verhindern

DNS unterstützt dies nicht. Es spielt keine Rolle, welchen DNS-Anbieter Sie verwenden, da das Erstellen eines CNAME-Eintrags vollständig in der Quelldomäne erfolgt und das Ziel überhaupt nicht kontaktiert. Eine Domäne kann also veröffentlichenbeliebigDNS-Einträge mitbeliebigDaten.

Das Einzige, was Sie tun können – wenn Sie mit HTTP(S), TLS-SNI und anderen Protokollen arbeiten, die virtuelle Hosts unterstützen – ist sicherzustellen, dass Ihr Server alle Anfragen für unbekannte virtuelle Hosts ablehnt.

Sie können niemanden daran hindern, einen CNAME-Eintrag zu erstellen, der auf Ihre Domäne verweist, genauso wenig wie Sie jemanden daran hindern können, seinen Freunden zu sagen, sie sollen Ihre Telefonnummer anrufen.

Ein CNAME-Eintrag ist wie eine Aufnahme auf einem Anrufbeantworter, die Sie auffordert, eine andere Nummer anzurufen. Sie rufen beispielsweise 555-1111 an und die Nachricht lautet: „Rufen Sie 555-2222 an.“ Auf die gleiche Weise www.example.comkann ein CNAME-Eintrag für auf verweisen www.yourdomain.com. Wenn der DNS-Client nachschlägt www.example.comund den CNAME-Eintrag findet, startet er den DNS-Suchvorgang für ... neu, als ob er von Anfang an www.yourdomain.comversucht hätte, nachzuschlagen .www.yourdomain.com

Da Sie die Domäne, in der der CNAME-Eintrag erstellt wird, nicht kontrollieren und nicht zwischen Suchvorgängen für Ihre Domäneneinträge, die aufgrund von CNAME-Einträgen erstellt wurden, und nativen Suchvorgängen unterscheiden können, können Sie nicht verhindern, dass CNAME-Einträge auf Sie verweisen. Ebenso wenig können Sie verhindern, dass jemand auf seinem eigenen Anrufbeantworter eine Nachricht hinterlässt, in der er Anrufer auffordert, stattdessen Ihre Nummer anzurufen.