와일드 카드 DNS 레코드는 나쁜 습관입니까?

호스트에게 A 레코드의 IP를 가리키는 세 개의 하위 도메인을 추가하도록 요청했습니다. 임의의 하위 도메인이 이제 내 IP로 확인되므로 와일드 카드 DNS 레코드를 추가 한 것 같습니다. 다른 곳을 가리키는 하위 도메인이 없기 때문에 기술적 인 관점에서 이것은 괜찮습니다. 그런 다음 다시는 내가 요청한 것을하지 않는 것을 좋아하지 않습니다. 그리고 나는 그에게 그것을 바꾸라고 다른 이유가 있는지 궁금합니다. 거기 아무도 없나요?

내가 찾은 유일한 부정적인 점은 누군가가을 사용하여 내 사이트에 연결할 수 있다는 것 http://i.dont.like.your.website.mywebsite.tld입니다.

컴퓨터를 해당 도메인에 넣은 경우 인터넷에서 임의의 사이트를 방문하려고 할 때 기괴한 DNS 오류가 발생합니다.

고려 : 도메인을 소유하고 있습니다 example.com. 워크 스테이션을 설정하고 이름을 지정하십시오. ...라고하자 yukon.example.com. 이제 당신은 그것 /etc/resolv.conf의 라인 이 있음을 알 수 있습니다 :

search example.com

예 www를 들어 www.example.com자동으로 검색하는 호스트 이름 조회를 수행 할 수 있기 때문에 편리 합니다. 그러나 구글과 같은 사이트를 방문하면을 검색하고 www.google.com.example.com, 와일드 카드 DNS가 있으면 사이트로 연결되며, 구글에 도달하는 대신 자신의 사이트를 검색하게됩니다.

이것은 당신이 당신의 웹 사이트를 실행 하는 서버 에 동일하게 적용됩니다 ! 외부 서비스를 호출해야하는 경우 호스트 이름 조회가 같은 방식으로 실패 할 수 있습니다. 그래서 api.twitter.com예를 들어 갑자기된다 api.twitter.com.example.com루트 직접 당신의 위치 등을 맞댄, 물론 실패의.

이것이 와일드 카드 DNS를 절대 사용 하지 않는 이유 입니다.

와일드 카드 DNS 레코드는 나쁜 습관입니까?

개인적으로는 마음에 들지 않습니다. 특히 해당 도메인에 머신이있는 경우. 오타는 확인되지 않고 오류는 덜 분명하지만 근본적으로 문제는 없습니다.

내가 찾은 유일한 부정적인 점은 누군가 http : //i.dont.like.your.website.mywebsite.tld를 사용하여 내 사이트에 연결할 수 있다는 것 입니다.

http 서버가 이러한 모든 요청을 올바른 정식 주소로 리디렉션하도록하거나 전혀 응답하지 않도록하십시오. nginx의 경우 다음과 같습니다 .

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

그리고 정규

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

그것은 모두 의견의 문제입니다. 나에게는 나쁜 습관이 아닙니다.

테넌트 당 데이터베이스를 사용하는 다중 테넌트 앱을 만들고 있습니다. 그런 다음 하위 도메인을 기반으로 사용할 데이터베이스를 선택합니다.

예를 들어 데이터베이스 milkman.example.com를 사용 tenant_milkman합니다.

이처럼 각 세입자에 대한 테이블을 분리 한 같은, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, 내 의견으로는 대신 같은 테이블에있는 모든 회사의 모든 사용자가 필요없이,이 특정 응용 프로그램에 대한 유지하기 위해 엄청난 훨씬 쉽게이다.

[edit - Michael Hampton has a good point]

당신이 경우에 그 존재는 말했다 하지 않는 내가처럼, 당신이 그들을 받아 들일한다, 어떤 (변수) 하위 도메인을 수용 할 수있는 특정 이유가 있습니다.

여기에 또 다른 문제는 SEO입니다. 모두 *.example.com동일한 콘텐츠를 표시하는 경우 적어도 Google ( https://support.google.com/webmasters/answer/66359 ) 에서 웹 사이트를 잘못 참조 합니다.

하나의 웹 서버에서 하나의 하위 도메인 a.company.com을 호스트하고 다른 웹 서버에서 b.company.com을 호스팅하려는 경우 다른 ISP 일 수 있다고 가정 해보십시오. 넌 뭐 할거야 ?. 따라서 와일드 카드 DNS는 옵션이 아니며 정확해야합니다. 각 하위 도메인에 대해 A 레코드를 작성하고 관련 IP를 가리 킵니다. 한 ISP에서 다른 ISP로 웹 서버를 이동할 가능성이 있습니까?이 경우 어떻게 하시겠습니까?

나는 이것이 오래된 질문이라는 것을 알고 있지만 와일드 카드 도메인을 사용하면 문제가 발생할 수있는 실제 사례를 공유하고 싶습니다. 그러나 도메인 이름을 변경하고 당황을 막기 위해 전체 SPF 레코드를 숨길 것입니다.

DMARC에 문제가있는 사람을 도와주었습니다. 수표의 일부로 항상 DIG로 DMARC 레코드를 조회합니다

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

DKIM 레코드를 찾을 때도 같은 결과를 얻었습니다.

결과적으로이 도메인에서 전송 된 이메일은 DKIM 모듈이 DKIM 키에 대한 SPF 레코드 구문 분석을 시도하고 실패 할 때 DKIM 실패를 가져오고 동일한 이유로 DMARC에 대한 Permerror를받습니다.

와일드 카드 도메인은 좋은 생각처럼 보이지만 잘못 설정하면 모든 종류의 문제가 발생할 수 있습니다.

와일드 카드 DNS 레코드는 나쁜 습관입니까?

아니요, 다른 사람들과 달리 이것이 좋은 습관이라고 생각합니다.

대부분의 인터넷 사용자는 어느 시점에서 DNS 이름을 지목합니다. 그들은 입력 ww.mycompany.com하거나 wwe.mycompany.com 당신은 오히려 "그 사이트를 찾을 수 없습니다 죄송합니다"또는 그들이 당신의 기본 홈페이지를 끌어 올리려면 어떻게 하시겠습니까? 기본 홈페이지를 가져 오지 않는 것보다 더 자주 사용하는 것이 좋습니다. 많은 사람들이하는 일입니다.

누군가가 링크를하더라도 i.dont.like.your.website.whatever.com여전히 귀하의 홈페이지를 끌어 올릴 것 입니다. 결국, 그들은 그 i.dont....사이트를 그들의 서버로 옮길 수 없으며 , 여전히 DNS 라우팅을 제어하여 귀하의 사이트로갑니다.

먼저 와일드 카드 DNS 레코드를 사용하지 않는 가장 좋은 이유는 서버 IP 주소를 잠재적 인 공격자에게 제공하지 않고 DDOS 공격에 대한 노출을 줄이려는 것입니다. Cloudflare의 권장 설정 : https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/