DMARC beim BSI - Rainers kleine Welt

hm, der Übertöter Emotet ist ja wieder angeblich ganz fürchterlich unterwegs, angeblich mit Absendern aus $BUNDESBEHÖRDE.

Was macht denn das BSI gegen Fälschungen?

SPF können sie:

~$ host -t txt bsi.bund.de.
bsi.bund.de descriptive text "v=spf1 mx ip4:77.87.228.72/29 ip4:77.87.224.104/29 ip4:217.6.125.154 ip4:194.95.66.8 ip4:77.87.229.56 ip4:93.190.68.25 -all"
~$

DMARC?

~$ host -t txt _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has no TXT record
~$

Äh… Man beachte: “no TXT record” und nicht etwa NXDOMAIN

~$ host -t any _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has RRSIG record MX 8 3 900 20191230103401 20191220103401 51858 bund.de. kuoQ+exINaIT5x11aNmdnl+XTXsVSmZ6jzugcM3w89zOP0gjLvnPakPT 8ITeezOESdMuGpXHeCPMZaTLeHgGT5on2e4+1cu6fxV1+qyjurmBw9bx ilRBHSN2wwGytUkGwQ4uJDEfCt3tvPweCx08yBZ6Jk1Faf0EaL0Lm4EA 13E=
_dmarc.bsi.bund.de mail is handled by 10 mx1.bund.de.
_dmarc.bsi.bund.de mail is handled by 10 mx2.bund.de.
~$

Ob man any-Anfragen wirklich beantworten möchte? So im Alter von DNS-reflections? Aber warum zum Geier hat man MX-RRs für _dmarc? Aber eben keinen TXT-RR?

Das DNSSEC machts wohl auch nicht besser…

Rainers kleine Welt

Schreibe einen Kommentar Antworten abbrechen