
'np'-Tag im DMARCbis: Risiken durch NSEC Black Lies bei DNSSEC
Spezialist für LLMs, AI Agents und KI-Infrastruktur
Die Einführung des neuen 'np'-Tags im DMARCbis-Protokoll zielt darauf ab, Subdomain-Spoofing zu verhindern. Doch in DNSSEC-Umgebungen können NSEC Black Lies die Sicherheitsvorteile der 'np'-Tag beeinträchtigen, was zu erhöhtem Spoofing-Risiko und fehlerhafter E-Mail-Authentifizierung führen kann. Unternehmen sollten ihre DNSSEC-Konfigurationen überprüfen, um Sicherheitslücken zu vermeiden.
Einführung in die 'np'-Tag des DMARCbis
Mit der Veröffentlichung des DMARCbis-Protokolls und der Einführung des neuen 'np'-Tags (non-existent subdomain policy) wurde ein weiteres Instrument zur Bekämpfung von Subdomain-Spoofing bereitgestellt. Das Protokoll, definiert im RFC 9989, erlaubt es Organisationen, Richtlinien für E-Mails von nicht existierenden Subdomains zu definieren. Dies schließt eine wichtige Sicherheitslücke, die bisher nicht durch das bestehende 'sp'-Tag abgedeckt wurde.
Die primäre Funktion des 'np'-Tags besteht darin, anzuweisen, wie E-Mails von nicht existierenden Subdomains behandelt werden sollen. Standardmäßig lehnt die Richtlinie np=reject solche Nachrichten ab. Dies soll verhindern, dass Angreifer gefälschte Subdomains nutzen, um Phishing- oder Spamkampagnen durchzuführen.
Herausforderungen bei der Integration mit DNSSEC
DNSSEC (Domain Name System Security Extensions) ist ein Sicherheitsprotokoll, das die Integrität und Authentizität von DNS-Antworten sicherstellt. Allerdings birgt die Nutzung von DNSSEC in Verbindung mit der neuen 'np'-Tag des DMARCbis-Protokolls technische Herausforderungen.
Eine spezifische Technik, die als NSEC Black Lies bekannt ist, kann die Funktionalität der 'np'-Tag beeinträchtigen. Diese Technik, beschrieben im RFC 9824, ermöglicht es DNS-Servern, komprimierte Antworten auf Anfragen nach nicht existierenden Subdomains zu liefern. Dies kann jedoch dazu führen, dass:
- Spoofing-Risiko steigt: Fälschlicherweise könnten nicht existierende Subdomains als gültig angesehen werden.
- E-Mail-Authentifizierung versagt: Gefälschte E-Mails von nicht existierenden Subdomains könnten durch die DMARC-Prüfung rutschen.
Diese Probleme stellen eine Herausforderung dar, insbesondere für Unternehmen, die bereits DNSSEC implementiert haben, um ihre Domain-Namen vor Manipulationen zu schützen.
Risiken und empfohlene Maßnahmen
Identifizierte Risiken
- Fehlkonfigurationen: DNSSEC-Server könnten NSEC Black Lies verwenden, die die korrekte Funktionsweise des 'np'-Tags behindern.
- Falsche Authentifizierung: Sicherheitsvorteile der 'np'-Tag könnten durch technische Unstimmigkeiten verloren gehen, was Spoofing erleichtert.






