Joker karakter DNS kaydı kötü bir uygulama mı?

Barındırıcımdan A kaydının IP'sine işaret eden üç alt alan eklemesini istedim. Görünüşe göre rastgele bir DNS kaydı ekledi çünkü rastgele bir alt alan adı şimdi IP adresime çözülüyor. Teknik açıdan benim için sorun yok, çünkü başka hiçbir yere işaret eden alt alan yok. Sonra tekrar istediğimi yapmamasını sevmiyorum. Bu yüzden ona bunu değiştirmesini söylemenin başka nedenleri olup olmadığını merak ediyorum. Orada hiç?

Bulduğum tek olumsuz birisi kullanarak siteme bağlantı olabilir http://i.dont.like.your.website.mywebsite.tld.

Bu etki alanına bir bilgisayar koyarsanız, Internet'te rasgele bir siteyi ziyaret etmeye çalıştığınızda, bunun yerine sizinkine ulaştığınız tuhaf DNS hataları alırsınız.

Şunu düşünün: Etki alanının sahibi sizsiniz example.com. İş istasyonunuzu kurup adlandırıyorsunuz. ... diyelim ki yukon.example.com. Şimdi onun /etc/resolv.confiçinde bir çizgi olduğunu fark edeceksiniz :

search example.com

Bu uygundur, çünkü ana bilgisayar adı aramaları yapabileceğiniz anlamına gelir, örneğin wwwdaha sonra www.example.comsizin için otomatik olarak arayacaktır . Ancak karanlık bir tarafı var: Diyelim ki Google'ı ziyaret ederseniz, o zaman arayacak www.google.com.example.comve joker karakterli DNS'niz varsa, bu sitenize çözümlenecek ve Google'a ulaşmak yerine kendi sitenize gideceksiniz.

Bu , web sitenizi çalıştırdığınız sunucu için de geçerlidir ! Harici hizmetleri aramak zorunda kalırsa, ana bilgisayar adı aramaları aynı şekilde başarısız olabilir. Yani api.twitter.comörneğin aniden olur api.twitter.com.example.comyolları doğrudan sitenize geri ve tabii başarısız arasında.

Bu yüzden asla joker karakter DNS kullanmıyorum.

Joker karakter DNS kaydı kötü bir uygulama mı?

Şahsen, sevmiyorum. Özellikle o alanda makineler varsa. Yazım hataları kontrol edilmez, hatalar daha az belirgindir ... ancak temelde yanlış bir şey yoktur.

Bulduğum tek olumsuz birisi http: //i.dont.like.your.website.mywebsite.tld kullanarak siteme bağlantı verebilir .

Http sunucunuzun bu tür tüm istekleri uygun, standart adreslere yönlendirmesini veya hiç yanıt vermemesini sağlayın. Nginx için bu şöyle bir şey olurdu :

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

ve sonra düzenli

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

Her şey bir fikir meselesi. Benim için kötü bir uygulama değil.

Kiracı başına bir veritabanı kullanan çok kiracılı bir uygulama oluşturuyorum. Daha sonra alt alana göre kullanılacak veritabanını seçer.

Örneğin veritabanını milkman.example.comkullanacaktır tenant_milkman.

Bunun gibi ben her kiracı tablolar ayrılmış olması gibi, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, bence yerine aynı tabloda tüm şirketlerin tüm kullanıcıların sahip, bu belirli bir uygulama için korumak için büyük çok daha kolay olan.

[edit - Michael Hampton has a good point]

Eğer varsa bu varlık, dedi yok benim gibi, o zaman bunları kabul etmemelidir, herhangi biri (değişken) alt etki alanı kabul etmek, belirli bir neden var.

Buradaki başka bir sorun SEO: hepsi *.example.comaynı içeriği gösteriyorsa, web sitenize en azından Google tarafından kötü bir şekilde referans verilecektir ( https://support.google.com/webmasters/answer/66359 ).

Bu gerçekten kötü bir fikir, varsayalım ki bir alt etki alanını a.company.com'u bir web sunucusunda barındırmak istiyorsanız ve b.company.com başka bir web sunucusunda başka bir ISS olabilir. Ne yapacaksın ?. Bu nedenle joker karakter DNS bir seçenek değildir, kesin olmalı, her alt etki alanı için bir kayıt oluşturmalı ve ilgili IP'yi göstermelidir. Web sunucunuzu bir ISS'den başka bir ISS'ye taşıma şansınız vardır, bu durumda ne yapacaksınız?

Bunun eski bir soru olduğunu biliyorum, ancak joker alanları kullanmanın sorunlara neden olabileceği konusunda gerçek bir dünya örneğini paylaşmak istiyorum. Ancak alan adını değiştireceğim ve utançtan tasarruf etmek için tam SPF kaydını gizleyeceğim.

DMARC ile ilgili sorunları olan birine yardım ediyordum, kontrollerin bir parçası olarak her zaman DIG ile DMARC kaydına bakıyorum

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

DKIM kayıtlarını ararken de aynı sonucu aldım.

Sonuç olarak, bu etki alanından gönderilen e-postalar bir DKIM hatası alır çünkü DKIM modülü bir DKIM anahtarı için SPF kaydını ayrıştırmayı dener ve başarısız olur ve aynı nedenden dolayı DMARC için Permerror alır.

Joker alan adları iyi bir fikir gibi görünebilir, ancak yanlış ayarlandıklarında her türlü soruna neden olabilirler.

Joker karakter DNS kaydı kötü bir uygulama mı?

Hayır, diğerlerinin aksine bunun iyi bir uygulama olduğuna inanıyorum.

Çoğu internet kullanıcısı bir noktada bir DNS adını şişirir. Onlar yazacaktır ww.mycompany.comveya wwe.mycompany.com ne değil, bir birincil ana sayfasını yukarı çekmek için ya da onlar için "Hop biz bu siteyi bulamadık" olur? Birincil ana sayfanızı yukarı çekmemek daha sık tercih edilir. Bir çok insan bunu yapar.

Birisi bir bağlantı koysa bile , ana sayfanızı i.dont.like.your.website.whatever.comçeker , ki bu aslında istediğiniz şeydir. Sonuçta, bu siteyi sunucularına gidemezler, yine de DNS yönlendirmesini siz kontrol edersiniz.i.dont....

İlk etapta bir joker karakter DNS kaydına sahip olmamanın en iyi nedeninin, sunucu IP adresinizi potansiyel bir saldırgana vermekten kaçınmak ve DDOS saldırılarına maruz kalmayı azaltmaktır. Bu, Cloudflare tarafından da önerilmektedir: https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/