5ain7 ga11 . CH || i7-l3ak5. CH || g07r007.CH

DNS

UCC SAN Certificates are dying / dealine Oktober 2016 / Split Scope DNS

by on Feb.25, 2013, under DNS, Exchange 2007, Exchange 2010, Gossip, Knowledgebase, Server-Plattformen

Ich wollte mal wieder ein Exchange 2010 Server mit einen offiziellen Zertifikat versehen, als ich beim CertRequest meine SAN Names eingeben wollte, kam die Meldung, dass keine Intranet-Namen mehr erlaubt sind. War es doch genau das, was die UCC Zerts so spannend machte. No more: myserver.local, etc. ???:-(

Den Beschluss dazu habe ich im “CA/Browser Forum” gefunden und zwar in den “Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates”.

Baseline_Requirements_V1

Das “warum” findet man im Kapitel 9.2.1

 

921_BF

921_BF

Und jetzt, wie weiter? Wieder die externe FQDN intern registrieren? Gemäss Microsoft ist SplitScope DNS das Zauberwort.

D.h. nicht die ganze externe FQDN im internen DNS verwalten sondern nur die gewünschten SubDomains:

mail.test.ch
autodiscover.test.ch

SplitScope DNS

SplitScope DNS

 

 

Leave a Comment more...

Google Apps SPF Records

by on Apr.27, 2010, under Applikationen, DNS, Google Services, Knowledgebase

Um seine Google Apps Mails gegen Mailspoofing-Attacken zu schützen, kann man bei seinem DNS-Server eine TXT oder SPF (falls unterstützt) Record eintragen. Bei Google Apps sollte dies folgendermassen aussehen:

v=spf1 a mx include:aspmx.googlemail.com include:_spf.google.com ~all (in meinem Fall als TXT Record eingetragen).

Wenn man seine Einstellungen testen will, kann man dies via: http://www.kitterman.com/spf/validate.html?.

Aufbau eines SPF-Records [von wikipedia.de]

Jeder SPF-Record beginnt mit einer Versionsnummer – für die aktuelle SPF-Version “v=spf1”. Es folgen beliebig viele Ausdrücke, die in der Reihenfolge von vorne nach hinten ausgewertet werden. Die meisten Ausdrücke sind dabei sog. Direktiven, die dieAutorisierung des Versenders definieren, und bestehen aus einem optionalen Qualifikator und einem sog. Mechanismus, der für eine gegebene Situation (IP-Adresse) entweder einen Treffer oder keinen Treffer ergibt. Der erste Mechanismus, der einen Treffer darstellt, bestimmt das Ergebnis der gesamten Auswertung des SPF-Records.

Es gibt folgende Qualifikatoren:

Q. Ergebnis-Code Beschreibung
+ Pass die Direktive definiert autorisierte Sender; dies ist der Standard, d. h. ist kein Qualifikator angegeben, so wird + angenommen
– Fail die Direktive definiert nicht autorisierte Sender
~ SoftFail die Direktive definiert nicht autorisierte Sender, der Empfänger soll diesen Fehlschlag aber großzügig behandeln; dieser Qualifikator ist für Testzwecke gedacht
? Neutral die Direktive definiert Sender, über deren Legitimität nichts ausgesagt werden soll; Der Sender muss akzeptiert werden.

Folgende Tabelle zeigt einige gängige Mechanismen:

Mech. Direktive trifft zu, wenn …

all immer
a … ein A-(oder AAAA-)Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält
mx … ein MX-Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält
ip4 … die angegebene IPv4-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv4-Subnetz diese enthält
include … eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain die IP-Adresse des Senders enthält

Leave a Comment more...

Blogroll

A few highly recommended websites...