Namd,
Nils Ketelsen ([EMAIL PROTECTED]) - Thu, Sep 18, 2003 at 07:07:45AM +0200:
schon mal beim Nameserver anfragen, wie die IP-Adresse ist. Ich glaube der
Aufwand für das DNS zwischen NXDOMAIN sagen und 64.whatever sagen ist in
etwa gleich hoch.
*grmpf*. im Zweifelsfalle sogar schneller,
Namd,
Kristian Koehntopp ([EMAIL PROTECTED]) - Thu, Sep 18, 2003 at 11:56:28AM +0200:
Aber immerhin kann man ein *.com 86400 IN MX . machen, um Mail an
[EMAIL PROTECTED] abzufangen, ohne einen Dummymailer bei Verisign zu
beschäftigen. Aber nicht mal das haben die DNS-Könige bei Verisign
Kristian Koehntopp [EMAIL PROTECTED] writes:
On Tue, Sep 16, 2003 at 09:23:23PM +0200, Florian Weimer wrote:
Es gibt keine allgemein funktionierende Möglichkeit zu signalisieren,
daß ein Host, unabhängig von irgendwelchen DNS-Einträgen, nicht am
Mail-Verkehr teilnimmt.
'IN MX .' bedeutet
On Thu, Sep 18, 2003 at 09:23:19AM +0200, Florian Weimer wrote:
'IN MX .' bedeutet angeblich genau das, nämlich ignoriere den A-Record für
diesen Host und einen MX haben wir auch nicht.
Das bedeutet, daß man vor der Zustellung von Mail an eine Domain auch
noch einen MX-Lookup machen muß.
Kristian Koehntopp [EMAIL PROTECTED] writes:
Das bedeutet, daß man vor der Zustellung von Mail an eine Domain auch
noch einen MX-Lookup machen muß. Dies ist aber eher ungewöhnlich, wenn
eine Domain in einem anderen MX-Record referenziert wird.
Que? Wenn Du eine Mail an eine Domain
On Thu, Sep 18, 2003 at 11:49:35AM +0200, Florian Weimer wrote:
Wenn wir ein example.com. 86400 IN MX 10 mail.xeample.com haben,
macht kaum ein richtig konfigurierter MTA einen MX-Lookup auf
mail.xeample.com, bevor er versucht, dort Mail zuzustellen.
Ja, Konfigurationsfehler laufen weiterhin
Florian Laws [EMAIL PROTECTED] writes:
Es gibt keine allgemein funktionierende Möglichkeit zu signalisieren,
daß ein Host, unabhängig von irgendwelchen DNS-Einträgen, nicht am
Mail-Verkehr teilnimmt.
Ist nicht sogar irgendwo spezifiziert, dass ein solcher Host gleich
im SMTP-Banner statt
On Thu, Sep 18, 2003 at 11:56:28AM +0200, Kristian Koehntopp wrote:
On Thu, Sep 18, 2003 at 11:49:35AM +0200, Florian Weimer wrote:
Wenn wir ein example.com. 86400 IN MX 10 mail.xeample.com haben,
macht kaum ein richtig konfigurierter MTA einen MX-Lookup auf
mail.xeample.com, bevor er
Kristian Koehntopp [EMAIL PROTECTED] writes:
Genaugenommen müßte ein *.com ... IN MX . und KEIN Mailer auf
sitefinder sogar die von Dir gebrachten defekten MXe korrekt
behandeln. Denn nach einem SYN-RST auf dem primären MX müßte ja
der Secondary genommen werden.
Stimmt.
Warum sie das trotz
On Thu, Sep 18, 2003 at 11:56:28AM +0200, Kristian Koehntopp wrote:
On Thu, Sep 18, 2003 at 11:49:35AM +0200, Florian Weimer wrote:
Wenn wir ein example.com. 86400 IN MX 10 mail.xeample.com haben,
macht kaum ein richtig konfigurierter MTA einen MX-Lookup auf
mail.xeample.com, bevor er
Gert Doering [EMAIL PROTECTED] writes:
Mit Exim sieht das etwa so aus:
Schick. Nuetzlich. Kann ich das fuer meinen Sendmail haben?
Wechseln ist keine Option? Es gibt ja *schon* *wieder* einen Grund
mehr.
http://lists.netsys.com/pipermail/full-disclosure/2003-September/010287.html
(Sieht
Hi,
On Wed, Sep 17, 2003 at 03:19:19PM +0200, Florian Weimer wrote:
Mit Exim sieht das etwa so aus:
Schick. Nuetzlich. Kann ich das fuer meinen Sendmail haben?
Wechseln ist keine Option? Es gibt ja *schon* *wieder* einen Grund
mehr.
Naja, der letzte mein Mailer braucht ein
bind 9.2.2p1 hat einen Patch für das ganze.
On 2003-09-16 02:52:09 +0200, Joerg-Olaf Schaefers wrote:
From: Joerg-Olaf Schaefers [EMAIL PROTECTED]
To: [EMAIL PROTECTED]
Date: Tue, 16 Sep 2003 02:52:09 +0200
Subject: Re: Verisign SiteFind
List-Id: debate.lists.fitug.de
Mailing-List: contact
Gert Doering [EMAIL PROTECTED] writes:
Wechseln ist keine Option? Es gibt ja *schon* *wieder* einen Grund
mehr.
Naja, der letzte mein Mailer braucht ein Security-Update-Bug war fuer
Exim, wenn ich mich recht entsinne.
Ja, aber der ist ähnlich ausnutzbar wie die jetzigen SSH-Bugs (nämlich
* Thomas Roessler wrote:
bind 9.2.2p1 hat einen Patch für das ganze.
Rein temporär. NS statt A hebelt den Patch aus.
Lutz Donnerhacke [EMAIL PROTECTED] writes:
* Thomas Roessler wrote:
bind 9.2.2p1 hat einen Patch für das ganze.
Rein temporär. NS statt A hebelt den Patch aus.
Sind Wildcard Delegations erlaubt?
On Tue, Sep 16, 2003 at 09:58:10PM +0200, Florian Weimer wrote:
Nils Ketelsen [EMAIL PROTECTED] writes:
Ich mache ganz gute Erfahrungen mit Callout-Prüfung. Das funktioniert
bei Exim, wenn man besagte IP-Adresse mit ignore_target_hosts erdet.
Callout-Prüfung heisst, er guckt nicht nur, ob
On Tue, Sep 16, 2003 at 10:26:01PM +0200, Neko (Simone Demmel) wrote:
Florian Weimer ([EMAIL PROTECTED]) - Tue, Sep 16, 2003 at 09:58:10PM +0200:
Interessant, aber dafür werden Google und Co. sicherlich im Falle
eines Falles schnell einen Spezialfall einbauen.
Sie muessen aber doc auch
On Wed, Sep 17, 2003 at 03:36:18PM +0200, Thomas Roessler wrote:
On 2003-09-17 13:31:18 +, Lutz Donnerhacke wrote:
bind 9.2.2p1 hat einen Patch für das ganze.
Rein temporär. NS statt A hebelt den Patch aus.
server 64.94.110.11 { bogus yes; };
Das muss man aber immer händisch
Nils Ketelsen [EMAIL PROTECTED] writes:
Man kann ihn übrigens auch gleich schön benutzen, um Büssow-Verfügungen
durchzusetzen. ;-/
Nur dann, wenn man mit dem Übersperren kein Problem hat.
* Nils Ketelsen wrote:
Das muss man aber immer händisch nachpflegen, wenn die das nach 64.94.110.12
oder sonstwo hin verlegen. Das schöne an dem bind-patch ist ja, dass er
unabhängig von der IP-Adresse funktioniert (solange sie A-Records verwenden
und keine NS-Records, wie Lutz anmerkte),
Lutz Donnerhacke [EMAIL PROTECTED] writes:
Außerdem macht der Patch glue records kaputt.
Wirklich? Der offene Resolver von ISC scheint damit keine Probleme zu
haben.
Es ist einfacher com/net/org direkt abzuklemmen.
org ist doch nicht mehr betroffen, oder?
* Florian Weimer wrote:
Lutz Donnerhacke [EMAIL PROTECTED] writes:
Außerdem macht der Patch glue records kaputt.
Wirklich?
Kein Schimmer. Nur ein kurzer Blick auf die Wirkungsweise. Für die zwei
Wochen bis zur NS-Umstellung seitens Verisign ist mir ein Update zuviel.
Wir haben nun
Lutz Donnerhacke [EMAIL PROTECTED] writes:
* Florian Weimer wrote:
Lutz Donnerhacke [EMAIL PROTECTED] writes:
Außerdem macht der Patch glue records kaputt.
Wirklich?
Kein Schimmer. Nur ein kurzer Blick auf die Wirkungsweise.
Der gepatchte Resolver selbst sieht ja die Einträge.
Es könnte
http://www.verisign.com/nds/naming/sitefinder/index.html
Zum Testen: http://diese-domain-gibt-es-bestimmt-nicht.net
--
Thomas Roessler · Personal soap box at http://log.does-not-exist.org/.
Hallo Liste,
Monday, September 15, 2003, 11:32:39 PM, Thomas Roessler wrote:
http://www.verisign.com/nds/naming/sitefinder/index.html
--snip-- http://www.intern.de/news/4751.html
VeriSign will Vertipper abfangen11.09.2003
VeriSign, Verwalter der Registry für die
* Thomas Roessler wrote:
http://www.verisign.com/nds/naming/sitefinder/index.html
Zum Testen: http://diese-domain-gibt-es-bestimmt-nicht.net
Danke für die Aufklärung. Ich habe eben einen Zeitbatzen in einen
Impersonating-Angriff investiert, da es so erschien, als würde jemand für
alle Hosts
Lutz Donnerhacke [EMAIL PROTECTED] writes:
Danke für die Aufklärung. Ich habe eben einen Zeitbatzen in einen
Impersonating-Angriff investiert, da es so erschien, als würde jemand für
alle Hosts einer Kundendomain per Schreibfehler die VPN Zugänge abgreifen.
Ich überlege, ob ich im Nameserver
* Florian Weimer wrote:
Hätte jemand Lust, an einer Beschwerde bei der RegTP zu arbeiten?
Verisign hat ja immerhin eine deutsche Niederlassung.
Derzeit schlagen Beschwerden auf, daß Mails mit fehlerhaften
Empfängeradressen (die bei fehlendem MX an den A Record gehen) zu Verisign
gehen, wo sie
On 2003-09-16 14:35:20 +, Lutz Donnerhacke wrote:
Man benötigt also REJECT Route im internen Netz.
Nein. Man benötigt einen Nameserver, der ...
*.com. 900 IN A 64.94.110.11
... durch ein NXDOMAIN ersetzt. Alles andere ist genauso übler
Pfusch wie das, was
Thomas Roessler wrote:
On 2003-09-16 14:35:20 +, Lutz Donnerhacke wrote:
Man benötigt also REJECT Route im internen Netz.
Nein. Man benötigt einen Nameserver, der ...
*.com.900 IN A 64.94.110.11
... durch ein NXDOMAIN ersetzt. Alles andere
Ralph Angenendt [EMAIL PROTECTED] writes:
Nein. Man benötigt einen Nameserver, der ...
*.com. 900 IN A 64.94.110.11
... durch ein NXDOMAIN ersetzt. Alles andere ist genauso übler
Pfusch wie das, was Verisign aufgesetzt hat.
... solange es bei der
Lutz Donnerhacke [EMAIL PROTECTED] writes:
Derzeit schlagen Beschwerden auf, daß Mails mit fehlerhaften
Empfängeradressen (die bei fehlendem MX an den A Record gehen) zu
Verisign gehen, wo sie nicht hin sollen.
Das ist noch das geringste Problem. Interessant ist die Situation,
wenn man
On Tue, Sep 16, 2003 at 05:07:50PM +0200, Florian Weimer wrote:
Das ist noch das geringste Problem. Interessant ist die Situation,
wenn man
example.com 86400 IN MX 10 mail1.xeample.com
example.com 86400 IN MX 20 mail2.example.com
hat -- das funktionierte
On Tue, Sep 16, 2003 at 09:23:23PM +0200, Florian Weimer wrote:
Nils Ketelsen [EMAIL PROTECTED] writes:
On Tue, Sep 16, 2003 at 05:07:50PM +0200, Florian Weimer wrote:
1. sender_verify, also die Funktion die Absenderdomain einer mail auf
Existenz zu prüfen um Spammer abzuwehren,
Nils Ketelsen [EMAIL PROTECTED] writes:
Ich mache ganz gute Erfahrungen mit Callout-Prüfung. Das funktioniert
bei Exim, wenn man besagte IP-Adresse mit ignore_target_hosts erdet.
Callout-Prüfung heisst, er guckt nicht nur, ob der host existiert, sondern
auch, ob der LowestMX (oder in
Hi,
On Tue, Sep 16, 2003 at 09:23:23PM +0200, Florian Weimer wrote:
1. sender_verify, also die Funktion die Absenderdomain einer mail auf
Existenz zu prüfen um Spammer abzuwehren, funktioniert jetzt wesetlich
seltener. Also wieder ein Paar Spammer mehr die durchkommen.
Ich mache ganz
Gert Doering [EMAIL PROTECTED] writes:
Hi,
On Tue, Sep 16, 2003 at 09:23:23PM +0200, Florian Weimer wrote:
1. sender_verify, also die Funktion die Absenderdomain einer mail auf
Existenz zu prüfen um Spammer abzuwehren, funktioniert jetzt wesetlich
seltener. Also wieder ein Paar Spammer
Hi,
Florian Weimer ([EMAIL PROTECTED]) - Tue, Sep 16, 2003 at 09:58:10PM +0200:
Interessant, aber dafür werden Google und Co. sicherlich im Falle
eines Falles schnell einen Spezialfall einbauen.
Sie muessen aber doc auch wohl erst mal klaeren, ob die Domain existiert
zumindest so
Hi,
On Tue, Sep 16, 2003 at 10:23:41PM +0200, Florian Weimer wrote:
On Tue, Sep 16, 2003 at 09:23:23PM +0200, Florian Weimer wrote:
1. sender_verify, also die Funktion die Absenderdomain einer mail auf
Existenz zu prüfen um Spammer abzuwehren, funktioniert jetzt wesetlich
seltener.
40 matches
Mail list logo