Das längste Thema

Quote from Win98SE4ever

Mit any kommt keine Liste aller DNS-Einträge (wie ich es mir erhoffte):

Hello again,

Thanks for your answers.

After digging into the topic hab i rausgfunde, dass manche Nameserver / Firewalls wohl ANY sperren, weil das für DNS-Angriffe oder deren Vorbereitung genutzt wird.

Quelle:

DNS ANY requests are decreasingly supported by DNS resolvers on the internet. This is due to of the above noted security threats, the sensibility of supporting the operation on caching DNS servers, and the added processing required to support a capability of questionable value at best.

Beim superuser hat jemand ebenfalls Probleme mit dig any gehabt und schlägt eine Lösung vor. Mit der funktioniert die Abfrage wie von mir ursprünglich erhofft:

Win98SE4ever:~# dig any netcup.de @`dig +short  SOA netcup.de | cut -d' ' -f1`


; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> any netcup.de @root-dns.netcup.net.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18871
;; flags: qr rd ra; QUERY: 1, ANSWER: 12, AUTHORITY: 0, ADDITIONAL: 13


;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 3e5b8eb3f00482660100000067ba1b724e05e34032bb4e61 (good)
;; QUESTION SECTION:
;netcup.de.                     IN      ANY


;; ANSWER SECTION:
netcup.de.              6892    IN      A       46.38.224.30
netcup.de.              6892    IN      AAAA    2a03:4000::e01e
netcup.de.              6892    IN      SOA     root-dns.netcup.net. dnsadmin.netcup.net. 16 28800 7200 1209600 7200
netcup.de.              6892    IN      TXT     "google-site-verification=XDly02N5dgwwk-oPdSjsfchNFpV-jyDfUl45Vd75NIg"
netcup.de.              6892    IN      TXT     "v=spf1 ip4:212.123.34.96/28 ip4:212.123.36.25 ip4:188.65.77.204 ip6:2a03:4000:0:1::e1aa mx ip4:212.123.41.224/28 ip4:45.132.63.68 include:_spf.hostedemail.com -all"
netcup.de.              6892    IN      NS      acns03.xaas.systems.
netcup.de.              6892    IN      NS      acns01.xaas.systems.
netcup.de.              6892    IN      NS      acns02.xaas.systems.
netcup.de.              6892    IN      NS      acns05.xaas.systems.
netcup.de.              6892    IN      NS      acns04.xaas.systems.
netcup.de.              6892    IN      MX      20 backupmx-fra1.netcup.net.
netcup.de.              6892    IN      MX      10 smtp.netcup.net.


;; ADDITIONAL SECTION:
acns01.xaas.systems.    1316    IN      AAAA    2a00:11c0:aa1::1
acns02.xaas.systems.    2117    IN      AAAA    2a05:8900:aa1::1
acns03.xaas.systems.    2117    IN      AAAA    2605:380:aa1::1
acns04.xaas.systems.    1334    IN      AAAA    2803:ad80:aa1::1
acns05.xaas.systems.    2117    IN      AAAA    2a00:11c0:1010::1
acns01.xaas.systems.    1316    IN      A       217.146.18.1
acns02.xaas.systems.    2117    IN      A       188.172.248.1
acns03.xaas.systems.    2117    IN      A       213.227.160.1
acns04.xaas.systems.    2131    IN      A       213.227.191.1
acns05.xaas.systems.    2117    IN      A       185.81.208.1
smtp.netcup.net.        665     IN      A       46.38.225.170
backupmx-fra1.netcup.net. 1802  IN      A       188.68.63.41


;; Query time: 4 msec
;; SERVER: 2a03:4000:0:1::e1e1#53(root-dns.netcup.net.) (TCP)
;; WHEN: Sat Feb 22 19:46:10 CET 2025
;; MSG SIZE  rcvd: 851

Ich verstehe nur noch nicht was der Befehl macht...

Wer mir das erklären will und vielleicht sogar noch Verbesserungsvorschläge hat (gibt vielleicht noch zusätzliche Infos die man den Nameservern aus der Nase ziehen kann oder z.B. die IP von den jeweils geannnten Serven wie in diesem Beispiel vom smtp.netcup.net gleich mit auflösen kann) ist herzlich eingeladen zu schreiben.

dig any netcup.de @`dig +short SOA netcup.de | cut -d' ' -f1`

Jedenfalls brauche ich bereits jetzt nicht mehr auf Internetseiten wie mxtoolbox.com zugreifen, nur weil mich (meine eigenen) DNS-Einträge (von außen betrachtet) interessieren.

Nachtrag:

engine Sorry - ich hatte Deinen Code gar nicht bemerkt. Ist der Gleiche wie bei superuser.

Am Beispiel von bmw.de (die TXT-Einträge inflationär verwenden) sieht man aber dass die Methode gut zu funktionieren scheint:

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> any bmw.de @ns.bmw.de.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36889
;; flags: qr aa rd; QUERY: 1, ANSWER: 33, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available


;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
; COOKIE: ae5482633f7d99b17b21dc7667ba1c3a1c773ad630307d78 (good)
;; QUESTION SECTION:
;bmw.de.                                IN      ANY


;; ANSWER SECTION:
bmw.de.                 3600    IN      SOA     ns.bmw.de. domadm.bmw.de. 2011122165 10800 3600 2592000 900
bmw.de.                 300     IN      A       160.46.226.165
bmw.de.                 300     IN      MX      10 mx1.hc324-48.eu.iphmx.com.
bmw.de.                 300     IN      MX      20 mx2.hc324-48.eu.iphmx.com.
bmw.de.                 3600    IN      TXT     "v=spf1 exists:%{i}.spf.bmwgroup.com include:elaine-asp.de -all"
bmw.de.                 3600    IN      TXT     "_globalsign-domain-verification=nmhSemOmcCefWOy2XfL1fOAa83wnYt_Zr90qQ8dzsv"
bmw.de.                 3600    IN      TXT     "MS=ms98534385"
bmw.de.                 3600    IN      TXT     "google-site-verification=N-Kcndpxp-wDTBfui6VcTQAoj6e80h9AlU7u9qYoYko"
bmw.de.                 3600    IN      TXT     "atlassian-domain-verification=5K9ps59cGldz2CvKsl1XMqZutW/50LXOqYW0zM0pza1wYTQDadv5QZaBNLUQKqDu"
bmw.de.                 3600    IN      TXT     "google-site-verification=e7nKcDm8xwTYiZ3DGW_Uj9r_kbzi2uGp0R-mnl_JVus"
bmw.de.                 3600    IN      TXT     "Dynatrace-site-verification=c04164b9-048f-4dfd-9448-b1767f70788e__boab8emdin0vuan415go63fr2g"
bmw.de.                 3600    IN      TXT     "MS=ms13464829"
bmw.de.                 3600    IN      TXT     "atlassian-domain-verification=tH2LhIuI8YV9tLrL3RpNDPKBrBnLILxDAowQt8J1igpJNPKIK2a4uGhBaLuymeDh"
bmw.de.                 3600    IN      TXT     "adobe-sign-verification=15bb0cf14babc7e7f78038ee6a1fcdb9"
bmw.de.                 3600    IN      TXT     "apple-domain-verification=mEWL6SZTDm7abq99"
bmw.de.                 3600    IN      TXT     "wiz-domain-verification=2571e83621dca3f606c3fd4bedd8cef9bc52af789f348c55e7cada9bcbdc7791"
bmw.de.                 3600    IN      TXT     "webexdomainverification.=04d64df2-a12d-48f1-9619-02cac1940649"
bmw.de.                 3600    IN      TXT     "0f1fbd54-f80b-4bdd-aa0e-48e543d39eb1"
bmw.de.                 3600    IN      TXT     "webexdomainverification.=de7c1d23-2f73-4db8-be02-cf2470f6030f"
bmw.de.                 3600    IN      TXT     "webexdomainverification.=3c7e3b4b-43a2-47aa-93b3-0d27a538b008"
bmw.de.                 3600    IN      TXT     "cisco-ci-domain-verification=5a9ad6b2ab66758db17716a99d71676f5d41f06bb65f9b3af85985702ad6314f"
bmw.de.                 3600    IN      TXT     "vmware-cloud-verification-959bc5ca-eccf-4938-959a-3392bf23ed6c"
bmw.de.                 3600    IN      TXT     "swisssign-check=J8m-PORh_UyfRzNknF4Qtjb_AAI"
bmw.de.                 3600    IN      TXT     "_globalsign-domain-verification=RBuhn5J7F7Znjdiuqry-gQ1ktahaQQBj-j81L99xdn"
bmw.de.                 3600    IN      TXT     "infoblox-domain-mastery=cbce8c4237ff95c09250cd61692efd2fe99842b000ddfc285309fa5e48f9447f8b"
bmw.de.                 3600    IN      TXT     "openai-domain-verification=dv-n1NiaX6f6WPIFzlSw3zA7WQn"
bmw.de.                 3600    IN      TXT     "Dynatrace-site-verification=9f98b568-46fd-42af-9266-e366d8691ad6__vde2j12cet7nc76e50jjj0oc28"
bmw.de.                 3600    IN      TXT     "smartsheet-site-validation=jLqHUaZNm-G6c2YXfS1yEHriwzFCqUa0"
bmw.de.                 3600    IN      TXT     "swisssign-check=f94MXKUJ-Ev8z1csGkg1LHYVBpU"
bmw.de.                 3600    IN      NS      ns2.m-online.net.
bmw.de.                 3600    IN      NS      ns3.m-online.net.
bmw.de.                 3600    IN      NS      ns4.m-online.net.
bmw.de.                 3600    IN      NS      ns.bmw.de.


;; Query time: 16 msec
;; SERVER: 192.109.190.2#53(ns.bmw.de.) (TCP)
;; WHEN: Sat Feb 22 19:49:30 CET 2025
;; MSG SIZE  rcvd: 2184

man dig?

Du fragst deinen recursive resolver und der sagt dir "NOTIMP". Dann fragst du den Server, der im SOA Record der Domain steht, also den autoritativen Server für die Domain, und der gibt dir die Antwort.

Es gibt auch was von Rustiopharm -> mhost

alias host='mhost -q l --all -w'

mhost -q l --all -w netcup.de

 ∙ SOA:     origin NS root-dns.netcup.net., responsible party dnsadmin.netcup.net., serial 16, refresh 8h, retry 2h, expire 14days, negative response TTL 2h expires in 1h 9m 3s (1)
 ∙ NS:      acns02.xaas.systems. expires in 1h 17m 11s (1)
 ∙ NS:      acns05.xaas.systems. expires in 1h 17m 11s (1)
 ∙ NS:      acns03.xaas.systems. expires in 1h 17m 11s (1)
 ∙ NS:      acns04.xaas.systems. expires in 1h 17m 11s (1)
 ∙ NS:      acns01.xaas.systems. expires in 1h 17m 11s (1)
 ∙ MX:      backupmx-fra1.netcup.net.  with preference 20 expires in 1h 23m 4s (1)
 ∙ MX:      smtp.netcup.net.           with preference 10 expires in 1h 23m 4s (1)
 ∙ TXT:     SPF version=1 expires in 1h 23m 4s (1)
                   ∙ Pass for IPv4 range 212.123.34.96/28
                   ∙ Pass for IPv4 212.123.36.25
                   ∙ Pass for IPv4 188.65.77.204
                   ∙ Pass for IPv6 2a03:4000:0:1::e1aa
                   ∙ Pass for MX records of this domain
                   ∙ Pass for IPv4 range 212.123.41.224/28
                   ∙ Pass for IPv4 45.132.63.68
                   ∙ Pass for include from _spf.hostedemail.com
                   ∙ Fail for all
 ∙ TXT:     site verification for google with XDly02N5dgwwk-oPdSjsfchNFpV-jyDfUl45Vd75NIg expires in 1h 23m 4s (1)
 ∙ A:     46.38.224.30 expires in 1h 23m 4s (1)
 ∙ AAAA:  2a03:4000::e01e expires in 1h 23m 4s (1)
 ∙ 46.38.224.30/32      AS 197540, Prefix 46.38.224.0/20, Net name DE-NETCUP-20101202, Org -, Authority RIPE, Location Nuremberg, DE
 ∙ 2a03:4000::e01e/128  AS 197540, Prefix 2a03:4000::/32, Net name DE-NETCUP-20101202, Org netcup GmbH, Authority RIPE, Location Nuremberg, DE

Ähnlich wäre auch loo

Quote from engine

Geht aber bei netcup.de auch nicht, eventuell hat KB19 recht

geht schon, wenn man den aktuellen NS nimmt.

dig @$(dig +short ns netcup.de | head -1) any netcup.de

Quote from NaN

man dig?

man dig? => 55.963 => Doku entspricht man

Nur zur Dokumentation (einem wesentlichen sinnspendenten Grund für ein Forum) hier meine mit Quellen unterlegte Erklärung zu meiner Frage:

dig domain.tld any liefert alle Einträge eines DNS-Servers (was mein Ziel war)

Ich habe Cloudflare abgefragt.

Cloudflare hat jedoch bereits 2019 ANY aus Sicherheitsgründen gesperrt. Quelle

Das ist gemäß RFC 8482 "legal", auf die Anfrage ANY kann geantwortet werden, muss aber nicht:

Quote from RFC 8482 - ANY query

The operator of an authoritative DNS server might choose not to respond to such queries for reasons of local policy, motivated by security, performance, or other reasons.

Cloudflare hat sich für die abweisende Meldung für NOTIMP entschieden, diesen response code findet man z.B. im RFC 2136.

Der Code

dig any netcup.de @`dig +short SOA netcup.de | cut -d' ' -f1`

verschachtelt nun die Anfrage des angefragten DNS-Servers "@server" durch die Abfrage

dig +short SOA netcup.de | cut -d

deren Ergebnis den SOA-Eintrag in Kurzform ausgibt:

root-dns.netcup.net. dnsadmin.netcup.net. 16 28800 7200 1209600 7200

SOA steht nach RFC 1035 für den Start of Authority, also den Beginn der Zone samt E-Mail-Adresse

dnsadmin@netcup.de

cut -d setzt das Leerzeichen ' ' als delimiter und wählt mit -f1 das erste Feld aus.

Somit ergibt sich als Ergebnis dieser Anfrage:

root-dns.netcup.net.

Der gesamte Code (s.o.) funktioniert also nur deshalb, weil netcup in ihrem autoritativen DNS-Server ANY noch nicht gesperrt hat.

Nach RFC 8482 dürfte netcup das deaktivieren, dann hat man wie bei cloudflare keine Liste mehr mit allen Records.

Olivetti => auch die NS (in diesem Beispiel z.B. die acns0x.xaas.systems.) dürfen ANY sperren.

Google verzichtet mit dem 8.8.8.8 noch darauf (darf & könnte das aber jederzeit ändern)

Es bleibt also aus technischer Sicht nur die einzelne Abfrage aller DNS-Records.

Das geht dann auch mit dig.

Mit der Ausgabe meines folgenden Codes bin ich noch nicht zufrieden:

for record in A AAAA CNAME SOA NS HINFO MX TXT WKS PTR; do dig +short $record netcup.de | xargs echo -e $record '\t\t'; done

A                46.38.224.30
AAAA             2a03:4000::e01e
CNAME
SOA              root-dns.netcup.net. dnsadmin.netcup.net. 16 28800 7200 1209600 7200
NS               acns05.xaas.systems. acns02.xaas.systems. acns01.xaas.systems. acns03.xaas.systems. acns04.xaas.systems.
HINFO
MX               20 backupmx-fra1.netcup.net. 10 smtp.netcup.net.
TXT              v=spf1 ip4:212.123.34.96/28 ip4:212.123.36.25 ip4:188.65.77.204 ip6:2a03:4000:0:1::e1aa mx ip4:212.123.41.224/28 ip4:45.132.63.68 include:_spf.hostedemail.com -all google-site-verification=XDly02N5dgwwk-oPdSjsfchNFpV-jyDfUl45Vd75NIg
WKS
PTR

Mit der xargs echo Geschichte bin ich mir überhaupt nicht sicher ob das so gehört.

Da ich kein Softwareenwickler bin, ist mir die Formatierungs-Pipe-Variablen-Verarbeitung hier nicht geläufig.

Bei der Ausgabe gefällt mir nicht, dass die zwei separaten Zeilen der TXT-Records (in diesem Beispiel) zusammengefügt ausgegeben werden. Auch bei den anderen Records hätte ich gerne separate Zeilen.

So würde ich mir das wünschen:

A               46.38.224.30
AAAA            2a03:4000::e01e
CNAME
SOA             root-dns.netcup.net. dnsadmin.netcup.net. 16 28800 7200 1209600 7200
NS              acns05.xaas.systems.
                acns02.xaas.systems.
                acns01.xaas.systems.
                acns03.xaas.systems.
                acns04.xaas.systems.
HINFO
MX              20 backupmx-fra1.netcup.net.
                10 smtp.netcup.net.
TXT             v=spf1 ip4:212.123.34.96/28 ip4:212.123.36.25 ip4:188.65.77.204 ip6:2a03:4000:0:1::e1aa mx ip4:212.123.41.224/28 ip4:45.132.63.68 include:_spf.hostedemail.com -all
                google-site-verification=XDly02N5dgwwk-oPdSjsfchNFpV-jyDfUl45Vd75NIg
WKS
PTR

Ich frag' jetzt aber lieber nicht wie man die Ausgabe "Schönreparieren" kann, sonst bekomme ich nur man echo und man xargs als wertvollen Tipp...

Quote from Win98SE4ever

So würde ich mir das wünschen:

Reicht dir der folgende Befehl nicht aus?

dig @acns01.xaas.systems. netcup.de any

...
;netcup.de.        IN      ANY

;; ANSWER SECTION:
netcup.de. 7200    IN      TXT     "google-site-verification=XDly02N5dgwwk-oPdSjsfchNFpV-jyDfUl45Vd75NIg"
netcup.de. 7200    IN      TXT     "v=spf1 ip4:212.123.34.96/28 ip4:212.123.36.25 ip4:188.65.77.204 ip6:2a03:4000:0:1::e1aa mx ip4:212.123.41.224/28 ip4:45.132.63.68 include:_spf.hostedemail.com -all"
netcup.de. 7200    IN      SOA     root-dns.netcup.net. dnsadmin.netcup.net. 16 28800 7200 1209600 7200
netcup.de. 7200    IN      NS      acns04.xaas.systems.
netcup.de. 7200    IN      NS      acns05.xaas.systems.
netcup.de. 7200    IN      NS      acns03.xaas.systems.
netcup.de. 7200    IN      NS      acns02.xaas.systems.
netcup.de. 7200    IN      NS      acns01.xaas.systems.
netcup.de. 7200    IN      MX      10 smtp.netcup.net.
netcup.de. 7200    IN      MX      20 backupmx-fra1.netcup.net.
netcup.de. 7200    IN      AAAA    2a03:4000::e01e
netcup.de. 7200    IN      A       46.38.224.30
...

Denn, alle Records, die du mühsam über deine Schleife versuchst herauszubekommen, gibt dieser Befehl über einen Einzeiler auch schon aus.

Leere Records werden nicht mit ausgegeben.

Quote from Win98SE4ever

"Schönreparieren"

domain="${1:-netcup.de}"
types=( a aaaa cname mx txt soa ns hinfo )

max=$(printf '%s\n' "${types[@]}" | wc -L)
printf "%-${max}s\t%s\n" "#" "${domain}"

for type in ${types[@]}; do
    while read line; do
        printf "%-${max}s\t%s\n" "${type}" "${line}"
        type=""
    done<<<$(dig +short "${type}" "${domain}")
done

du kannst auch bei echo -e "\t\t" bleiben, solange die längen in der 1. reihe (type: a txt aaa hinfo) tablängengleich, also nicht allzu unterschiedlich bleiben.

ansonsten man printf 

Quote from Win98SE4ever

wie ich es mir erhoffte

Wozu denkst du es denn zu brauchen?

Quote from Win98SE4ever

Mit any kommt keine Liste aller DNS-Einträge (wie ich es mir erhoffte):

Wie definierst du denn "alle Einträge"?

Die gibt nämlich das obige garnicht aus.

Da fehlt ja z.B. www. oder server. oder cloud. etc.

Das Obige gibt dir nur alle Eintragungstypen eines einzelnen angefragten Hostnamens.

Quote from ASS

Wozu denkst du es denn zu brauchen?

Wie definierst du denn "alle Einträge"?

Die gibt nämlich das obige garnicht aus.

Da fehlt ja z.B. www. oder server. oder cloud. etc.

Das Obige gibt dir nur alle Eintragungstypen eines einzelnen angefragten Hostnamens.

Display More

Geht meines Wissens auch nicht, sonst müssten Pentester keine DNS Enumeration machen, um auf etwaige vergessene Subdomains zu stossen.

Quote from engine

[…] DNS Enumeration […]

Stichworte im Kontext: Zone Walking, NSEC3.

Quote from m_ueberall

Stichworte im Kontext: Zone Walking, NSEC3.

Kannte ich noch gar nicht. Danke!

Quote from Olivetti

geht schon, wenn man den aktuellen NS nimmt

Nein, das habe ich ja versucht in meinem Beitrag zum Ausdruck zu bringen.

=> ob ANY funktioniert oder nicht, hängt vom Willen der Admins des verwendete DNS-Servers ab:

Cloudflare unterstützt ANY auf 1.1.1.1 nicht mehr, wie lange Google das bei 8.8.8.8 noch unterstützt und netcup die DNS-Sicherheit (und die Last der Angriffe samt Reflections die damit einhergeht) durch die Sperrung von ANYerhöht, liegt allein bei deren Admins.

Daher bleibe ich bei meiner Feststellung, dass eine garantierte Abrufbarkeit aller DNS-Records seit Verabschiedung des RFC 8482 nur noch einzeln erfolgen kann:

Quote from Win98SE4ever

Es bleibt also aus technischer Sicht nur die einzelne Abfrage aller DNS-Records.

Quote from ASS

Wozu denkst du es denn zu brauchen?

Weil laut Anleitung von dig der Parameter ANY alle Ressource Records zeigt - was inzwischen aber nicht mehr zutrifft (RFC 8482)

Quote from ASS

Wie definierst du denn "alle Einträge"?

Gar nicht, die wurden bereits im RFC 1035 definiert.

Quote from ASS

Das Obige gibt dir nur alle Eintragungstypen eines einzelnen angefragten Hostnamens.

Genau, darum geht es, um die Ressource Records. Kann man meiner Eingangsfrage auch so entnehmen.

Nochmal wiederholt => ANY ist nicht mehr zuverlässig verwendbar und die Nutzbarkeit liegt in der Entscheidungsgewalt der DNS-Server-Admins.

Das haben - direkt folgend auf meine Eingangsfrage - KB19 , engine und ASS auch so verstanden:

Quote from KB19

ich würde vermuten, dass man ANY serverseitig beim Nameserver oder Resolver filtern bzw. ignorieren kann

Quote from engine

Geht aber bei netcup.de auch nicht, eventuell hat KB19 recht

Quote from ASS

Hat er. In meinen NS sind Zonentransfers auch gesperrt.

Quote from andreas.

Reicht dir der folgende Befehl nicht aus?

Nein, weil ich nicht von der individuellen Entscheidung von DNS-Server-Admins abhängig sein will.

ANY ist nicht mehr zuverlässig verwendbar und die Nutzbarkeit liegt in der Entscheidungsgewalt der DNS-Server-Admins.

Das hatte ich in meinem Beitrag versucht strukturiert und mit Quellen hinterlegt zu erarbeiten und darzustellen.

Quote from Olivetti

"Schönreparieren"

...du kannst auch bei echo -e "\t\t" bleiben, solange die längen in der 1. reihe (type: a txt aaa hinfo) tablängengleich, also nicht allzu unterschiedlich bleiben...

Danke für den Vorschlag.

Hab ich inzwischen mit meinem Code selbst hinbekommen, mit einer kleinen SED-Wurst, genauso wie ich es mir vorgestellt habe.

Die Ressource Record Abkürzungen sind kürzer als zwei Tabs, sollte sich der RFC 1035 ändern oder ergänzt werden, investiere ich in weitere - kosten ja nix...

Fazit:

Ziel erreicht, das dig netcup.de any hab ich nun unabhängig vom genutzten DNS-Server meinem Wunsch entsprechend mit Hilfe von Standardsystemtools dig xargs echo sed ersetzt und dabei wieder einiges gelernt (und mir selbst beigebracht, mit Originalquellen und ohne ChatGPT-Rotz)

A                46.38.224.30

AAAA             2a03:4000::e01e

CNAME            -

SOA              root-dns.netcup.net. dnsadmin.netcup.net. 16 28800 7200 1209600 7200

NS               acns01.xaas.systems.
                 acns03.xaas.systems.
                 acns04.xaas.systems.
                 acns02.xaas.systems.
                 acns05.xaas.systems.

HINFO            -

MX               10 smtp.netcup.net.
                 20 backupmx-fra1.netcup.net.

TXT              google-site-verification=XDly02N5dgwwk-oPdSjsfchNFpV-jyDfUl45Vd75NIg
v=spf1 ip4:212.123.34.96/28 ip4:212.123.36.25 ip4:188.65.77.204 ip6:2a03:4000:0:1::e1aa mx ip4:212.123.41.224/28 ip4:45.132.63.68 include:_spf.hostedemail.com -all

WKS              -

PTR              -

Du redest immer noch von Resolvern, nicht von autoritativen Servern. Deine Chance, für "any" eine vollständige Antwort zu bekommen, sinkt mit jedem zusätzlichen beteiligten Server. Der Grund, warum es mit dem Codestück funktioniert, ist die direkte Ansprache des Primary Master der Domain. Wenn der die Antwort darauf verweigert, was er darf, aber auch tun könnte, wenn er es nicht dürfte, hat kein Resolver eine Chance. Wenn der die Antwort geben würde, aber dein Resolver dich das nicht abfragen lässt, bekommst du die Antwort nicht. Der Server (und alle möglichen anderen) können dich auch in anderer Hinsicht belügen, was viele auch tun. Du bekommst immer nur die Sicht auf das DNS, die dir der Server geben will. Die Zone kann z.B. auch mit Einzelabfragen von anderen IP-Adressen ganz anders aussehen.

Quote from Win98SE4ever

Olivetti => auch die NS (in diesem Beispiel z.B. die acns0x.xaas.systems.) dürfen ANY sperren.

Quote from Win98SE4ever

Es bleibt also aus technischer Sicht nur die einzelne Abfrage aller DNS-Records.

seltsame logik – es geht ausschliesslich um die nameserver.

anexia hat ANY nicht gesperrt, deshalb funktioniert es nach wie vor (auch mit netcup.de). wenn sie wollen, dürfen sie natürlich sperren.

und die zuständigen nameserver stehen manchmal nicht im oben verwendeten SOA-record, was ja schon den kardinalfehler darstellt, den hierfür abzufragen.

Quote from Win98SE4ever

Nein, weil ich nicht von der individuellen Entscheidung von DNS-Server-Admins abhängig sein will.

ANY ist nicht mehr zuverlässig verwendbar und die Nutzbarkeit liegt in der Entscheidungsgewalt der DNS-Server-Admins.

Das hatte ich in meinem Beitrag versucht strukturiert und mit Quellen hinterlegt zu erarbeiten und darzustellen.

Quote from Win98SE4ever

Nein, das habe ich ja versucht in meinem Beitrag zum Ausdruck zu bringen.

=> ob ANY funktioniert oder nicht, hängt vom Willen der Admins des verwendete DNS-Servers ab:

…

Daher bleibe ich bei meiner Feststellung, dass eine garantierte Abrufbarkeit aller DNS-Records seit Verabschiedung des RFC 8482 nur noch einzeln erfolgen kann:

jamei, ich hätte einfach beachten sollen, daß wir hier im Längsten sind…

Quote from Olivetti

...anexia hat ANY nicht gesperrt, deshalb funktioniert es nach wie vor. und wenn sie wollen, dürfen sie natürlich sperren.

so ist das halt im internet – mal geht was, und woanders geht es anders oder einfach überhaupt nicht...

Jetzt ist mir Einiges klarer geworden.

Herzlichen Dank

Wie haltet ihr bei euren Mailservern/Domains eigentlich die DMARC Settings?

Ich hatte es irgendwann mal eingerichtet und dann vergessen. Lief jetzt lange auf

p=none;

Fange jetzt langsam an das mal hochzustufen.

Mein Plan ist via Quarantine erst mal in 4 Steps bis zu 100% und danach das gleiche noch mal nur mit reject.
Jede Woche eine Stufe härter mit Monitoring via DMARC(Auge in Englisch).com

p=quarantine; pct=25;

Quote from fvbor

Wie haltet ihr bei euren Mailservern/Domains eigentlich die DMARC Settings?

Hab auch erstmal nur mit p=none; gearbeitet, mir aber zeitgleich von https://dmarc.postmarkapp.com/ Reports schicken lassen. Damit habe ich dann recht einfach prüfen könne, ob ich noch irgendeinen Server für SPF vergessen habe und ob irgendeiner noch nicht mit DKIM signiert. Als ich mir dann sicher war, habe ich auf p=reject; gewechselt.

TIL das SAS nicht auf SATA passt 🫠

btw: 04.03.2025, 4 – 7 Uhr: Wartungsarbeiten am Customer Control Panel (CCP) und der Bestellannahme auf netcup.com 

Quote from RAD750

TIL das SAS nicht auf SATA passt 🫠

Wie viel hat der Fehlkauf gekostet? Oder noch vorher drauf gekommen?

Wollte fürs NAS eine günstige 3TB Platte. Hab das günstigste auf eBay genommen, waren nur 15€. Könnt ich auch zurück schicken, aber das lohnt sich vom Aufwand her nicht.