В нашем домене есть следующие записи DNS:
*.example.com IN CNAME foo.org
example.com IN A x.x.x.x
example.com IN TXT "v=spf1 mx -all"
example.com IN MX 10 mail.mailhost.com
mail.example.com IN CNAME mail.mailhost.com
Электронные письма example.com отправляются и принимаются правильно.
Мы не контролируем foo.org и не доверяем его администраторам.
Q1: Могут ли они каким-либо образом использовать подстановочный знак CNAME для чтения электронных писем example.com?
Q2: Есть ли другие потенциальные возможности использования подстановочного знака CNAME, о которых нам следует беспокоиться?
A1: Известных эксплойтов нет (если они есть, скорее всего, они будут быстро исправлены)
A2: Подстановочный знак CNAMES работает следующим образом: если дополнительной записи не существует, используйте подстановочный знак.
https://tools.ietf.org/html/rfc4592#section-2.2.1
Есть еще кое-что, о чем следует подумать: связать записи: где вышестоящие серверы имеют IP-адреса серверов имен для серверов, использующих субдомены в качестве серверов имен (например, ns1.example.org - это сервер имен для example.org, поэтому зона .org. Имеет запись A для ns1.example.org)
Другой пример: у нас есть несколько школьных учетных записей, которыми я управляю, учителя используют многосайтовый WordPress (teachername.example.org), но у учащихся также есть собственный домен электронной почты student.example.org. поскольку для student.example.org существуют записи для MX, A, TXT и других, student.example.org не следует за * .example.org.
Если бы домен, на который я указываю CNAME * .example.org, имел запись MX, это применимо только к поддоменам, не имеющим записей MX, то же самое для DKIM, DMARC и других, однако в этом примере ключ для dkim не будет не работает по умолчанию ._domainkey.example.org не соответствует подстановочному знаку * .example.org, а соответствует * ._ domainkey.example.org.
ТАКЖЕ, Можно ли использовать несколько CNAMES для одного имени?
Из предоставленной вами информации невозможно сказать, могут ли они использовать ее для доступа к вашему почтовому серверу через IMAP, POP3 или что-то в этом роде, поскольку это зависит от конфигурации почтового сервера, а не от того, что находится в DNS. Тем не менее, это кажется маловероятным при достаточно нормальной настройке почтового сервера.
Вы полностью передали контроль над всеми именами под example.com, кроме названия mail.example.com. Чтобы определить, могут ли они использовать это во вред вам, опять же, требуется информация, не приведенная здесь.
Агенты почтового транспорта будут использовать MX (хотя я видел ужасный код, который знает только о A записи); CNAME как правило, не поддерживаются MX записи, с предупреждением некоторых DNS или почтовых серверов или отказом иметь дело с ними (я полагаю, Courier). Где user@sub.example.com адрес может потребовать исследования или может быть неактуальным, если вы используете только @example.com, и не ждите хороших людей в foo.com чтобы по какой-то причине подделывать письма, как если бы они были с поддомена.