Es gibt die Beobachtung, dass bei einem Internet-Provider in Luxemburg sehr merkwürdige Domain-Namen, die aus zwei identischen TLD-Namen gebildet werden, registriert sind. Für die Top-Level-Domain (TLD) .de wurde die Domain .de.de registriert. Ähnliche lässt sich für .com.com oder ähnliche TLDs feststellen. Nachdem ich über den Fall berichtete haben Leser versucht, über die Denic was in der Sache zu erreichen – und ich habe eine offizielle Anfrage an das BSI gestellt, ob diese Behörde sich einen Reim darauf machen kann. Hier eine Zusammenfassung des aktuellen Status.
Worum geht es bei de.de genau?
Ein Blog-Leser hatte mich auf eine sehr merkwürdige Geschichte hingewiesen, die ihm im Umfeld der Autodiscover-Funktion von Microsoft Exchange aufgefallen war. Es gibt wohl den Sachverhalt, dass ein Dritter eine Domain in Betrieb hat, die die Autodiscover-Subdomain von Fremden abbildet. Als Beispiel für die Top Level Domain (TLD) .de für Deutschland ist de.de registriert, so dass der Besitzer dieser Domain so etwas wie:
borncity.de.de
bundestag.de.de
bsi.de.de
etc. aufsetzen kann (siehe auch diesen Kommentar bei heise durch 1ST1). Aufgefallen ist das Problem einem Blog-Leser, weil er plötzlich unter Microsoft Exchange ein sehr merkwürdiges Zertifikat, welches bereits 2011 abgelaufen ist, beim Autodiscover für die autodiscover-Subdomain eines Kunden bestätigen sollte.
Merkwürdiges Zertifikat für .de.de-Domain
Recherchen von Lesern ergaben, dass die betreffende Stelle in Luxemburg angesiedelt ist. Es gibt auch andere Fälle wo andere Top-Level-Domains (z.B. com.com etc.) nach diesem Schema aufgesetzt wurden. Für Microsoft Exchange hatte ich die Implikationen im Blog-Beitrag Outlook zu Exchange-Autoermittlung und die doppelte .de.de-Domain angesprochen. Wenn der Administrator eines Exchange-Servers nicht aufpasst, wird ggf. beim AutoDiscover die Fremd-Domain eingebunden.
Im oben verlinkten Blog-Beitrag wurde nicht ganz klar, was hinter dem Ansatz zur Registrierung von Domains der Art de.de steckt, aber ich wittere (bis zum Beweis des Gegenteils) Betrug. Ich habe dann mal hier im Blog nach Autodiscover im Zusammenhang mit Exchange gesucht und bin auf meinen alten Blog-Beitrag Microsoft Exchange Autodiscover-Designfehler ermöglicht Abgriff von Zugangsdaten aus 2021 gestoßen. Das Unternehmen Guardicore behauptet, Tausende Credential über die Exchange Autodiscover-Funktion erhalten zu haben (heise hatte das Ganze hier angesprochen). Blog-Leser Stefan hatte in diesem Kommentar auf den Artikel Autodiscover Guardicore von Frank Carius verlinkt, der das Thema kritisch beleuchtet. Carius konnte diese Behauptung bei eigenen Exchange-Installationen nicht nachvollziehen, hat im Artikel Autodiscover Sicherheit einige Hinweise zur Sicherheit von Autodiscover veröffentlicht.
Meldung bei Denic und EuroDNS
Ein Blog-Leser hatte mir noch die Information zukommen lassen, das die de.de-Domain seit dem 21. Juni 2024 bei EuroDNS registriert ist. Mit dem Leser hatte ich diskutiert, ob man eine abuse-Meldung rausschicken könne. Der Leser hatte darauf hin die Denic kontaktiert, die sich aber „nicht zuständig fühlte“ (nachfolgend die Antwort).
Der Blog-Leser hat dann der Geschäftsführung von EuroDNS und Denic noch eine Mail geschickt, in der er diese auf den Sachverhalt hinweist und er vermutet, dass es sich um eine Phishing-Domain handelt. Er bittet, die Domain zu sperren, da durch die .de.de-Domain bekannte Marken imitiert werden. Eine Antwort ist bis jetzt noch offen.
Meldung an das BSI
Ich selbst habe das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) zum 5. Juli 2024 kontaktiert und nachgefragt, ob jemand eine Erklärung hat.
Merkwürdige Doppeldomains .de.de, .com.com etc.
ehr geehrte Damen und Herren,
ich bin als IT-Blogger unterwegs und wurde kürzlich von einem Leser über einen nicht ganz erklärbaren Sachverhalt informiert, den ich in meinem Blog-Beitrag hier aufgegriffen habe.
Outlook zu Exchange-Autoermittlung und die doppelte .de.de-Domain
Das Problem scheint in meinen Augen zu sein, dass durch die Registrierung der .de.de-Domain in Luxemburg beliebige Subdomains wie sparkasse.de.de, bka.de.de, bundesregierung.de.de angelegt werden können. Durch die AutoDiscover-Funktion von Outlook/Microsoft Exchange besteht das Risiko, dass diese „Fake-Domains“ angesprochen werden.
Einer meiner Blog-Leser hat sich in einem Kommentar im heise-Forum noch einige Gedanken gemacht. Es könnte alles ganz harmlos sein, der Umstand, dass ein Catch-All-DNS aufgesetzt wurde, lässt doch Alarmglocken läuten. Ist dem BSI diesbezüglich etwas bekannt. Über die Leserschaft wurde die Denic im Hinblick auf eine Abuse-Meldung kontaktiert, hier fühlt man sich aber nicht zuständig. Bezüglich einer Einschätzung/Rückmeldung des BSI wäre ich dankbar.
Ich habe zwar eine Eingangsbestätigung des BSI erhalten, aber bisher gibt es keine Rückmeldung zum Sachverhalt bzw. Sachstand. Daher tippe ich nach wie vor im Dunkeln, was der oben skizzierte Sachverhalt mit der Registrierung von „Doppel-TLS-Domains“ bewirkt.
Falsch, com.com und ua.ua. usw. sind dort (in Luxemburg) nicht registriert, sondern anderswo, kann man auf whois.com selbst prüfen! Auffallend ist nur, dass diese Dienste ein gleiches Verhalten, aber mit anderen IP-Adressen zeigen. Ob da letztendlich als Besitzer/Betreiber der Domain die selben Personen dahinter stecken, ist unklar, wäre aber denkbar.
https://www.whois.com/whois/de.de
https://www.whois.com/whois/com.com
https://www.whois.com/whois/ua.ua
usw. Eine nachfolgende whois-Abfrage des jeweiligen angegebenen Nameservers und IP-Adressen aus diesem Ergbnisses bringt einen einen Schritt weiter, zu Ansprechpartnern, Abuseadressen beim Domain-Registrar, usw.
Ich habe es umformuliert.
Ich finde es total ok, auf den Umstand hinzuweisen. Danke daher für den generellen Hinweis.
Aber das BSI einzuschalten, Domains auf Verdacht sperren lassen zu wollen oder das ganze gleich als „russische Bärenfalle“ zu verdächtigen, geht imho weit über das Ziel hinaus.
Bisher hat der Betreiber nichts Illegales getan (ein Catch-All ist durchaus gebräuchlich) und es stellt sich eher die Frage, warum die Domains de, com usw. überhaupt verfügbar waren, wenn das denn so gefährlich ist. Das wäre durchaus eine Recherche wert, denn offensichtlich wurde hier von mehreren Stellen ein gewisses Sicherheitsrisiko übersehen oder bewusst in Kauf genommen. Wer auch immer die Domains registriert hat, hat sich aber bisher an alle Regeln gehalten, oder?
Vielleicht war es ja wirklich nur ein Menschenfreund, der die Gefährlichkeit solcher Scheindomains für die Allgemeinheit erkannte und sie daher ganz altruistisch besetzt hat, um sie aus dem Verkehr zu ziehen…? O:-)
Vielleicht wird das ein Projekt des Zentrums für politische Schönheit? Ein Satireprokect von Titanic? Ein Security-Projekt eines Forschers?
Es kann vieles sein, aber die Reaktion sollte verhältnismäßig sein, wenn jemand etwas Legales macht. Oder rufen Sie das Einsatzkommando, wenn der Nachbar leere Weinflaschen und Stofffetzen im Keller hat, denn das könnten ja Molotowcocktails werden und der Nachbar ein „russischer Bär“? Diese Schlussfolgerung wäre den meisten zu abenteuerlich.
Wie unten recherchiert wurde, gehören die Domains der „Bodis LLC“. Recherchiert man da weiter, ist das ein Domain Monetizer. Kauft Domains im großen Stil billig und verkauft dann teuer.
Ob das ein Einschalten des BSI rechtfertigt?
Oder verkauft/vermietet an Phishing-Kriminelle.
Dem Joachim empfehle ich weniger RT, das scheint eine ihm innewohnende Obsession zu sein.
Zu „Aber das BSI einzuschalten, Domains auf Verdacht sperren lassen zu wollen oder das ganze gleich als „russische Bärenfalle“ zu verdächtigen, geht imho weit über das Ziel hinaus.“ – ist jetzt a bisserl das, was wir als junge Ingenieure mit folgendem Witz transportiert haben.
Nun ja, suche dir was aus. Zurück zum Kommentar: Gibt doch nur ein paar simple Szenarien:
Aber was weiß ich schon von der Welt und habe so ganz naiv das BSI belästigt – wollte mal testen, ob es die überhaupt gibt – könnte ja Fake sein – oder die sind nach dem Foto-Termin mit Nancy Faser in ihrem Cyberabwehr Lagezentrum versumpft. Wie auch immer, ich bleibe daran und erhoffe mir eine Reaktion der kontaktierten Stellen – vielleicht sind wir irgendwann schlauer ;-).
Reisbrettstifte? Reis, wie Basmati?
aka Reiszwecken
„… so ganz naiv das BSI belästigt – wollte mal testen, ob es die überhaupt gibt – könnte ja Fake sein – oder die sind nach dem Foto-Termin mit Nancy Faser in ihrem Cyberabwehr Lagezentrum versumpft…“
Von Behörden gibt es IMMER eine Antwort, kann zuweilen aber dauern … die müssen den Sachverhalt ja erst einmal prüfen usw. Momentan sind die zuständigen Mitarbeiter womöglich in Urlaub oder Krank oder schlimmstenfalls ist die betreffende Stelle gerade unbesetzt. Häufig sind Stellen auch nur in Teilzeit besetzt, was nicht unbedingt dem Arbeitsaufkommen gerecht wird … wie auch „die Wirtschaft“ arbeitet der Staat um vermeintlich Kosten zu sparen gerne mit „chronischem Personalmangel“ . . .
Also Geduld, Geduld, in ein paar Wochen (oder Monaten) kommt die Antwort sicher. Hoffentlich ist diese dann ergiebig und nicht bloß ein aus Textbausteinen zusammengesetztes nichtssagendes nutzloses Stück Papier / eMail.
Wer öfter mal verschlampte Post oder Ärger über Telefon-Anbieter an die Netzagentur meldet, kann obiges vermutlich nachvollziehen. Zügige Antwort bekam ich bislang am ehesten von der BaFin. Geld ist ja schließlich auch viel wichtiger als alles andere ???
Der Mitarbeiter des BSI sah die „Reißbrettstift“, erkannte recht schnell, dass es sich nicht Reißbrettstifte handelte, sondern um harmloses Fuseln. Es wurde ihm rasch klar, dass sich niemand die Mühe gemacht hatte, genau nachzusehen, sondern einfach mal das Schlimmste anzunehmen und überall Flyer aufzuhängen, dass man bitte genau drauf achten sollte, wo man sich hinsetzt! Superkleberangriffe auf Sitzen in Öffis in den 80ern lassen grüßen (Urban Myth).
Der BSI-Mitarbeiter verzichtete auf eine Rechnung für die Zeitverschwendung, denn das bezahlt ja sowieso der Steuerzahler. Und die Reinigungsdame entfernte dann völlig unaufgeregt die Fuseln.
Aber noch 20 Jahre später fand man Flyer über Reißbrettstift, die von geheimen Agenten aus Schurkenstaaten auf ahnungslosen Bürostühlen verteilt wurden ;)
ok jetzt sperren wir de.de ua.ua com.com etc
weil ..
Es gibt ja auch neuerdings Domains wie . Holding
dann müsste man auch .holding.holding sperren?
Warum lässt der Eigentümer von .de oder .com denn überhaupt eine solche sublevel Domain zu?
Es steht am Ende ja seine TLD.
Seit einem Gerichtsurteil von 2008 muss die DENIC (TLD .de) Domains mit zwei Buchstaben registrieren.
Erst deswegen gibt es jetzt Adressen wie sz.de (Süddeutsche Zeutung; deren frühere Adresse „sueddeutsche.de“ war ja auch ein Zungenbrecher für die Finger und es gab mindestens eine Website mit ähnlicher Adresse, die das ausnutzte) oder br.de für den ehemals Bayerischen Rundfunk – der will ja schon lange von seinem bayerischen Image weg, und falls er irgendwann nach Brasilien umzieht, könnte er sich die Adresse br.br holen. Sie ist noch frei.
De.de ist eine Domain, wie jede andere auch.
Borncity.de, google.de, abc.de.
Mir erschließt sich nur nicht, wie die autodiscover funktion da drauf reinfallen könnte. Wer trägt bitte sld.de.de da ein?
Phishing trifft die Leite, die keinen Zugriff aufs Internet haben sollten.
Tippfehlerdomains zu registrieren ist nicht verboten. Es gibt bestimmt 10 verschiedene Varianten „google.de“ falsch zu schreiben, die registriert sind und teilweise sogar sehr ähnliche Seitenlayouts haben. Trotzdem kann (oder will?) Google dagegen nichts unternehmen. Das eigentliche Problem ist ja nicht die Domain, sondern die Person vor dem Bildschirm, die es eingetippt hat.
„Phishing trifft die Leite, die keinen Zugriff aufs Internet haben sollten.“
Wow. Wie kann man in Zeiten von organisierter Cyberkriminalität und ChatGPT einen solch naiven, selbstgewissen Quatsch verbreiten.
Hallo, an welche Mail hast Du das gemeldet?
An die in https://www.bsi.bund.de/security.txt
Ging an service-center@bsi.bund.de – die sollen das intern sortieren – eine Eingangsbestätigung habe ich bekommen.
Die Domain de.de leitet zu einer Firma namens Bodis LLC in Tampa FL, gehostet wird bei Amazon. Die zu de.de gehörige IP 199.59.243.226 wird bei AbuseIPDB gelistet: Confidence of Abuse is 59%
Bodis LLC in Tampa FL wirbt mit „Smart Domain Monetization – Monetize, manage, and sell undeveloped domains using smart features designed to maximize revenue.“
„…aber ich wittere (bis zum Beweis des Gegenteils) Betrug.“
Merkwürdiges Demokratieverständnis, welches die sowohl in der deutschen als auch europäischen Verfassung verankerte Unschuldsvermutung ad absurdum führt.
Bei meinem letzten Test wurde noch nicht mal eine autodiscover.xml ausgeliefert geschweige denn damit ein betrügerischer Server referenziert – einen „rauchenden Colt“ kann ich da bei Weitem nicht erkennen.
Gemäß https://heise.de/-837532 (und den dort verlinkten Artikeln) hat die DENIC versucht, TLD-Kürzel und Autokennzeichen von der Registrierung auszunehmen und ist damit gescheitert. Die dort referenzierten Preise (etwa 41.000€ für „pc.de“) dürften 15 Jahre später um ein Vielfaches höher ausfallen, damit auch eventuelle Schadensersatzforderungen bei unberechtigten Sperrungen.
Letztendlich ist das alles nur auf eine Fehlkonfiguration des Einsenders zurückzuführen (es hätte genauso gut „de.us“ treffen können) und damit ein Sturm im Wasserglas.
Stimmt. Da war was, dass Eigentümer der TLD doch nicht so frei ist bestimmen zu dürfen, was er als Sublevel zulässt.
Ziehe meinen Einwand zurück und beantrage jetzt GmbH.gmbh bei der TLD .gmbh.
Vgl. . Berlin etc.
Wo ist das fehlende Bit?
Danke für diese reflektierte Antwort.
Offensichtlich handelt es sich um einen Domainhändler, der entweder gern was verdienen möchte oder sich tatsächlich vertan hat. Beides hat beim BSI nichts zu suchen und rechtfertigt nicht die Hexenjagd und Unterstellungen.
Man kann solche Dienste auch so konfigurieren, dass sie auf bestimmte FQDN oder Client-IPs anders reagieren, als auf andere, beispielsweise verschiedene autodiscover.xml, verschiedene Webseiten, usw. So würde z.B. postabnk.de.de andere Inhalte liefern als bundestag.de.de, obwohl es auf dem selben Server ist. Oder eben eine absolut leere Seite.
Portscan auf blablubb.de.de (beliebig) ergibt übrigens offenen FTP-Port, HTTP, HTTPS und interessanterweise auch RDP.
„Portscan auf blablubb.de.de (beliebig) ergibt übrigens offenen FTP-Port, HTTP, HTTPS und interessanterweise auch RDP.“
Sicher das das nicht Dein eigener Rechner war?
Wir hatten uns früher immer den Spaß gemacht, neuen Domains die IP 127.0.0.1 zugeben bis die Website fertig war.
Zum einen konnten wir so ganz einfach mit einem lokalen Server testen und zum anderen, der Kunde wunderte sich, wieso unter seiner Domain die ganzen Warez lagen, die alle schon hatte :-)
Glaubst du, ich mache den Portscan von meinem Rechner aus? Wozu gibt es solche Dienste im Internet?
„Portscan auf blablubb.de.de (beliebig) ergibt übrigens offenen FTP-Port, HTTP, HTTPS und interessanterweise auch RDP.“
Das würde zum allgemeinen Zustand (siehe Zertifikat) passen. Ein seit 13 Jahren vergessener Rechner in irgendeiner Ecke. Für einen Honeypot m.E. zu plump.
Einen Portscan habe ich mir aus rechtlichen Gründen nicht getraut, obwohl es sicherlich interessant wäre, auf welchen Namen z.B. das Zertifikat des RDP ausgestellt ist.
Der Dienst hier macht einen ganz guten Eindruck:
https://www.ipfingerprints.com/portscan.php
Damit kann dann auch nicht direkt auf dich geschlossen werden, falls sich jemand aufregen sollte…
FWIW:
1) Die Unschuldsvermutung gilt nur im Strafrecht und bindet ausschliesslich den Staat.
2) Auch wenn das, insb. von der Politik, nach Belieben verdreht wird: Die Verfassung bindet ausschliesslich den Staat (es sind Schutzrechte der Bürger gegen den Staat), keinesfalls jedoch einen Bürger – den Bürger binden nur die Gesetze.
3) Auch wenn heute jeder von „Demokratie“ (gerne auch die Sonderform „unsere Demokratie“) faselt hat die Unschuldsvermutung mit Willensausübung durch den Souverän überhaupt nichts zu tun (siehe auch 1)).
Aber Du verlangst doch gerade staatliches Handeln (Beschlagnahme bzw Sperrung einer Domain).
Da sind die Hürden, strafbares Handeln nachzuweisen oder zumindest glaubhaft zu machen zu Recht relativ hoch.
Wie gesagt ich habe noch nicht mal eine Autodiscover.xml von dieser Domain gesehen geschweige denn eine nachgemachte Firmenwebsite des ursprünglichen Einsenders.
Die abstrakte Vorstellung, das man das KÖNNTE, reicht definitiv nicht aus.
@Fritz
Die DENIC ist keine staatliche Institution.
Wie kommen Sie denn auf das schmale Brett?
Ich verlang(t)e gar nichts, habe nur populistische Schwurbelei richtiggestellt.
@Bernd B.
„2) Auch wenn das, insb. von der Politik, nach Belieben verdreht wird: Die Verfassung bindet ausschliesslich den Staat (es sind Schutzrechte der Bürger gegen den Staat), keinesfalls jedoch einen Bürger – den Bürger binden nur die Gesetze.“
Falsch. Das Rechtskonstrukt der mittelbaren Grundrechtswirkung gilt auch für alle Unternehmen und Firmen und führt unter anderem zu gegen Konzerne wie Meta gerichtete erfolgreiche Klagen auf Entsperrung gesperrter Beiträge und Profile.
Korrekt, ich betrachtete nicht die Sonderfälle, sondern den Bürger (deswegen sind Gesetze in „Gesetzesdeutsch“ verfasst und schwer les-/verstehbar, sie wollen eben jeden Sonderfall einschliessen bzw. ausdefinieren – das sprengte aber den Rahmen eines Blogkommentars).
Bei den Sperrungen sind mMn nicht Meta & Co die Bösen, sondern der Staat, der ihnen unter Strafandrohung Zensur befahl (könnte man als verf.widrige „Flucht ins Privatrecht“ verstehen). Als Fa. würde ich da auch lieber zu viel sperren, als zu wenig.
>>> „…aber ich wittere (bis zum Beweis des Gegenteils) Betrug.“
Merkwürdiges Demokratieverständnis, welches die sowohl in der deutschen als auch europäischen Verfassung verankerte Unschuldsvermutung ad absurdum führt. <<<
Was für ein aufgeblasenes, wichtigtuerisches Geschwätz. Geh' mal zu einer kriminalpolizeilichen Beratungsstelle und informiere Dich, mit welcher Diktion die dort über Enkeltricks informieren und Kriminalprävention betreiben.
Bei Dir gilt wohl schon das an den Stellenbewerber gerichtete Verlangen des Arbeitgebers auf Vorlage eines Führungszeugnis als Verletzung der Unschuldsvermutung.
„Bei Dir gilt wohl schon das an den Stellenbewerber gerichtete Verlangen des Arbeitgebers auf Vorlage eines Führungszeugnis als Verletzung der Unschuldsvermutung.“
So pauschal formuliert – ja.
Lesetipp: https://www.personalwissen.de/arbeitsrecht/arbeitszeugnis/fuehrungszeugnis-verlangen-arbeitgeber/
Wenn ein berechtigtes Interesse (aktuell z.B. bei Sicherheitspersonal für die Fußball-WM) besteht sieht das anders aus.
Auch bei gesetzlichen Vorgaben. So mußte etwa eine Bekannte als Aufsichtsperson in der Psychiatrie (geschützter Bereich, Schlüsselgewalt) sogar ein erweitertes Führungszeugnis vorlegen. Aber generell darf das ein Arbeitgeber genauso wenig verlangen wie ein Vermieter.
„…die sowohl in der deutschen als auch europäischen Verfassung verankerte Unschuldsvermutung…“
ist der freien Schmier-Presse schon immer ein fremdes Konzept gewesen! Und wird zuweilen auch vom Staat selbst (gegenüber dem eigenen Personal) nicht unbedingt ernst genommen.
Im übrigen braucht es in einem „Kapital und Wirtschaftsfreundlichen“ (weitgehend unregulierten) System, dann doch eine große P0rtion „gesunden Menschenverstand“ und lieber eine zu vorsichtige, zu kritische, leicht paranoide Wahrnehmungen gegenüber „ungewöhnlichen“ Vorgängen, als das man mit freundlich gesonnener Naivität in eine Falle tappt, derer es so viele und immer Neue gibt, dass man garantiert irgendwann mal in eine solche hinein stolpert, da man nicht permanent so Aufmerksam sein kann, wie man müsste – leider.
„Domain Namen sind opaque“
„Wer lesen kann ist klar im Vorteil“
morgen verbieten wir „Postbunk.de“ weil man es mit „Postbank.de“ verwechseln könnte?
Hallo?
bei punny Codes sehe ich es ja beinahe ein, aber so?
Das ist was anderes. Bei *.de bist du bei offiziellen TLDs. Bei *.de.de landest du bei jemandem, der * selbst verwaltet.
.de hat dem, der die Subdomain .de.de haben wollte diese gegeben.
Es gab mal eine Zeit, da hat der Besitzer von .de. keine 2 buchstsbigrb Domains vergeben.
Es war nur dem Heise Verlag, auf welchem edlen Weg auch immer, gelungen, die SDL .ct.de. zu bekommen. Sehr zur Verwunderung andere an 2 buchsstabigem interessierten.
Das Problem mit .de.de. hätte also gar nicht auftreten können.
Das ist halt Hierarchie.
streng genommen ist es ja auch .de.
und rechts sollte es damals mal mit .Mars. .Mond. weitergehen..
aaO „Zwar verwies die Denic auf technische Risiken für die allgemeine Betriebssicherheit des E-Mail-Verkehrs und des Internets, das Interesse des VW-Konzerns an der Domain sei jedoch im Hinblick auf dessen Bekanntheit höher zu bewerten.
Technischer Hintergrund sind die in RFC 1535 beschriebenen möglichen Nameserver-Probleme bei der Auflösung von Domain-Namen. Bei älteren Versionen des BSD BIND Resolver können Probleme mit allen Second-Level-Domains auftreten, die gleichlautend mit vorhandenen Top-Level-Domains sind („de.de“). Da jedoch derzeit keine Top-Level-Domain .vw existiere und darüber hinaus nach Schätzung eines Sachverständigengutachtens nur noch weniger als 3,5 Prozent der untersuchten Nameserver die fehlerhafte, ältere BIND-Version einsetzten, bewertete das OLG Frankfurt die im Wesentlichen auf diese Überlegung gestützte Weigerung der Denic als unverhältnismäßig.“
Absolut No Chance de.de. zu verbieten.
übrigens wird in dem Artikel von Heise gesagt, dass es zu dem Zeitpunkt erst/immerhin 3 zwei buchstabige Domains unter .de gab. Das waren ct.de und ix.de, beides nur Zeitschriften die dem Heise Verlag gehör(t)en. Damit hätte sich der Denic schon lange vorher auf gaaaanz dünnes Eis gebracht und es war kein Grund sichtbar, nicht auch ein vw.de einzurichten. (Ich habe mich immer gewundert, warum ix und ct als als zugelassen wurden. Für mich war da irgendwie ein Geschmäckle dran. Aber egal. Jetzt werden alle gleich behandelt…)
RFC 1535 stammt aus dem Jahre 1993. Das war bereits in 2008 veraltet (auch die uralte BIND-Version mit dem Problem).
„auf welchem edlen Weg auch immer“
Nun, sie waren einfach rechtzeitig da um mit diesem „komischen Internet“ was anzufangen. Lange bevor es überhaupt die DENIC und ihre Statuten gab. Damit hatten diese Domains Bestandsschutz. Der Dritte im Bunde war übrigens die Deutsche Bahn (db.de).
Ein Zuspätkommer mit hinreichend großer Kriegskasse (die Volkswagen AG) hat dann durch alle Instanzen auf „vw.de“ geklagt (in der letzten Runde im Bunde mit der Deutschen Welle dw.de) und damit als „Kollateralschaden“ alle zwei- und gleich auch noch die einbuchstabigen Domains „befreit“.
Ich weiss nicht woher Du weißt das ix.de einfach die schnellsten waren… Quelle?
Warum gab es nur insgesamt 3 2stellige?
(ix.de ct.de und hm was war die Dritte?)
2stellige SLD waren von Anfang nicht zulässig.
Man wollte so etwas wie co.uk machen können.
und es gab schon damals Domain grabber, die sofort die extrem wertvollen und wenigen 1 und 2 Stellingen Domains gegriffen hätten.
Anyway es ist wurscht
Es sind in windeseile alle 2 Stellingen Domains belegt worden nach dem das Gericht das erlaubt hat.
de.de. gehört wohl einen Domain grabber, und das seit 16 Jahren.
Möglicherweise wurde sie zwischen durch mal verkauft
Es ist absolut nichts Böses am de.de.
Quellen zu suchen ist nicht meine Aufgabe.
Aber trotzdem: https://www.denic.de/ueber-denic/denic-geschichte
Die DENIC gibt als Gründungstag den 17. Dezember 1996 an, laut Wikipedia (https://de.wikipedia.org/wiki/Heise_online) wurde ix.de aber schon im Sommer 1996 (es steht nicht da seit wann) genutzt.
FWIW: Der Beleg eigener Aussagen/Behauptungen ist immer Aufgabe des Behauptenden. Eine der Grundregeln seriösen Diskurses.
Bei wahren Aussagen fällt das idR auch leicht, weil man weiss, wonach man suchen muss und woran man das erkennt, das man meinte.
bei *.de.de. lande ich bei jemandem der .de.de. selbst verwalten darf, weil der Besitzer von der übergeordnetem ihm die Möglichkeit gegeben hat.
Es liegt also „eigentlich“ in der Gewalt vom Denic, ob es eine Subdomain de zulassen will. Aber irgendwie ist dem Denic diede Macht juristisch genommen worden…
irgendwer muss ja dem DNS gesagt haben, wo Einträge für de.de. zu finden sind.
das darf aber nur der Eigentümer von de.
Es darf/kann ja nicht jeder Hans Wurst neue Subdomains anlegen.
Wenn pau1.de noch frei ist, darfst du die gerne registrieren und nach Belieben weitere Subdomains darunter eintragen. Ob das http://www.pau1.de oder meinebank.pau1.de wird, ist völlig egal. Und auf deinem eigenen Nameserver kannst du sogar eine eigene TLD .de einrichten und meinebank.de auf einen beliebigen Webserver zeigen lassen.
„eigenen Nameserver […] auf einen beliebigen Webserver zeigen lassen“
Was entgeht mir da, welchen Nutzen hat das, wenn der eigene Nameserver ja nur mir (insb. aber nicht dem erhofften Opfer) bekannt ist?
Der Bösewicht könnte seinen Nameserver auf deinem Router oder PC als Nameserver eintragen. Oder du machst das, um z.B. telemetry.company.com lahmzulegen.
Ja, solche Viren gab es vor ca. 20 Jahren durchaus, die den lokalen DNS geändert haben. Alle hatten immer Admin Rechte.
Sie sind schnell aufgeflogen da dieser Rechner seine Kollegen nicht im LAN erreichen können (außer sie benutzen Broadcasts was heute eher unüblich ist)
und es hat nichts mit dem Problem zu tun, das alle(!) 2 stellingen Subdomains von .de. seit 2008 vergeben sind. Siehe Quelle bei Heise aus 2008 zum Gerichtsurteil bez. VW.de.
Und wenn der Eigentümer von de.de einen Wildcard einrichtet, funktioniert bank.de.de. natürlich.
Wenn er nett ist,sagt er, das die Domain de.de. bei ihm gekauft werden kann.
Hier haben Halbwissende aus einer Mücke einen Elefanten gemacht.
Jeder Kommentar sind min. 3 Klicks
Jupp. Was wolltest Du damit wem mitteilen?
Wenn irgendein Autokonfigurationsmechanismus aus blah.de bei seiner Suche die blha.de.de nicht findet, sondern sogar auswertet oder wenigstens vorschlägt, dann ist aber an diesem Mechanismus so einiges kaputt.
Klar, und wenn ein Endkunde eine gut gemachte Phishing-Mail bekommt und sich dann mit seinen gültigen Anmeldedaten bei telekom.de.de oder commerzbank.de.de (mit gültigem Zertifikat!) anmeldet ist auch der Endkunde der Telekom/Commerzbank kaputt. Perfekt!
Es ist auch ein Unterschied, ob ein dummgemachter da Microsoft Algorithmus.de.de. für ernst hält oder ein Mensch bank.de nicht mehr von bank.de.de unterscheiden kann.
Der Fehler liegt bei Microsoft, die es nicht raffen,das bank.de.de etwas anderes als bank.de ist.
Deshalb solche Domains verbieten? Weil Microsoft eine gefährlich Kombination von Inkompetenz, Gier und Arroganz ist?
Hallo? Realität?
Autodiscover definitiv ein kaputt umgesetztes Protokoll.
Man braucht es eigentlich nur, weil es den heutigen Anwendern nicht mehr zuzumuten ist, sich zwei einfache Einstellungen (Name der Posteingangsservers und Name des Postausgangsservers – Protokoll und Port sind i.d.R. Default) zu merken.
Genauso wie ihren Benutzernamen. War es nun „gborn“? Oder Guenter.Born@borncity.com„? Oder vielleicht „gborn@borncity.com“?
Der freundliche Exchange akzeptiert gleich mal alles, was sich aus dem AD ableiten läßt – eine VÖLLIG UNNÖTIGE Vergrößerung der Angriffsfläche. Fehlt nur noch Autokorrektur.
Autoconfig (die Mozilla-Variante davon) habe ich ja noch mitgemacht, das war eine einfache XML-Datei, die man irgendwo auf den Webspace werfen mußte.
Aber Autodiscover verlangt – wenn man es komplett umsetzt – sogar eine dynamisch nach der Anfrage generierte XML oder am liebsten gleich eine direkte Weiterleitung zum Exchange. Da war ich ‚raus.
Hmm, der ganze Aufstand weil jemad sein Mail nicht richtig konfigurieren kann
Naja wer das mag
Nicht „konfigurieren mag“ ist falsch. Es ist (leider) eine bekannte Funktion von Outlook, wenn es die autodiscover-Adresse nicht gleich erreicht, dass es ein „bisschen“ rumprobiert. Das wurde schon kritisiert, aber MS hat es noch nicht geändert.
Das wurde schon kritisiert, aber MS hat es noch nicht geändert.
Dann ist doch das der Fehler.
Wer sich nicht an RfCs und andere Normen hält fliegt raus.
Wenn Dein Schrotziges Microsoft Programm schrottige Ergebnisse liefert, dann muss doch das Programm geändert werden, und nicht der Rest der Welt drum rum.
Was ist daran so schwer zu verstehen.
Und wenn Microsoft seine Fehler nicht beseitigen will, und Du trotzdem den Müll benutzt, dann, Du bist erwachsen, dann ist das Dein Risiko. Nur ein kleines Kind darf erwarten, dass sich die Welt um es Dreht. Microsoft verhält sich wie ein kleines Kind
Ein – foo.de – ist natürlich ein Angriffsvektor allerdings auf dem Niveau der bösen .zip Domain. (Was ist eigentlich aus der Nummer geworden?)
>>> Artikel Autodiscover Guardicore von Frank Carius <<<
Dieser und weitere einschlägige Artikel von Carius sind von einer merklichen Aufgeregtheit und argumentativer Flatterhaftigkeit geprägt. Der Mann nennt alle möglichen Quellen und spekuliert, ohne ein einziges Mal die Protokollspezifikation (1) heranzuziehen. Sein Résumé "Das Risiko für einen korrekt arbeitenden Client ist daher minimal, …" ist mager und praxisfremd. Was soll ein korrekt arbeitender Client sein und woran erkennt man ihn?
(1) https://msopenspecs.azureedge.net/files/MS-OXDISCO/%5bMS-OXDISCO%5d.pdf
Ist es denn jetzt wirklich so, dass eine Autodiscover-Abfrage für die Mail manfred@bank.de den autodiscover.bank.de.de abfragt? Dass kann ich mir nicht vorstellen. Da hat doch jemand aus versehen manfred@bank.de.de im Outlook eingetragen, nicht?
Wenn dem so ist, selbst schuld, wenn Manfred jetzt manfred@bank.com Einträgt landen seine Zugangsdaten ja auch am falschen Ort, wo ist der Unterschied?
Also, ich habe es eben mit einem Outlook (Office 365) getestet. Ich kann das Problem weder im Outlook direkt noch beim einrichten über die Systemsteuerung nachvollziehen.
Ja klar, wenn ich manfred@bank.de.de eingebe erhalte ich diese Meldung, aber eben – dann hat hier der Benutzer versagt, wer trägt denn bitte seine E-Mail so ein? Strenges Wochenende?
Binde dir ein Postfach in Outlook ein, deaktiviere oder entferne alle autodiscover-dns-Einträge (da gibt’s ja mehrere Möglichkeiten) dieser Domain und mach dann via – ich denke – strg+rechtsklick auf das Outlook icon im systray (bei der Uhr) den autodiscover-test. Du wirst dich wundern, was Outlook alles probiert…
Ein Drama um nichts. de.de verstößt alleine gegen keine Markenrechte und ist vollkommen legitim. Frag doch einfach mal alle a records ab und schau dann weiter ob du was findest.
>>> de.de … ist vollkommen legitim. <<<
Aus den Fingern gesogen oder angelesen? Dann bitte Quelle.
Die Berichterstattung aus 2008/2009 (übrigens nicht nur Heise, alle Technikmedien haben darüber geschrieben) ist mehrfach verlinkt.
Die DENIC hatte deutlich Bedenken angemeldet, ist aber nicht gehört worden. Damit gab es (anders als z.B. bei Autokennzeichen) keine Sperrliste.
Wenn ich mich recht entsinne waren alle bildbaren zweibuchstabigen (sollten 1296 sein) und einbuchstabigen Domains binnen weniger Stunden vergeben.
Auch wenn mir die Phantasie fehlt, was man mit ky.de oder 7j.de anfangen soll – Registrierung kostet erst mal (fast) nichts.
Quelle such‘ Dir bitte selbst oder laß‘ – ganz state of the art – die Berichterstattung von einer KI zusammenfassen.
Damit gehe ich davon aus, daß auch de.de in den letzten 14 Jahren mehrfach juristisch geprüft und für gut befunden wurde – unabhängig davon, ob gerade jemand sein Autodiscover verkonfiguriert hat. Eile sehe ich da auch keine.
Im Moment delegiert (das sagt nichts zu den Eigentumsvehältnissen) ist sie zu einem bekannten Domainhandler zweifelhafter Reputation, der sich sicherlich über den zusätzlichen Traffic zu de.de freut, das treibt nämlich den Preis in die Höhe.
PS: Die aktuellen Windows-Updates sind sortiert, dokumentiert und an den Testcluster verteilt – Gute Nacht da draußen, was immer Du sein magst, Anonym.
Danke!
Ja, solche Viren gab es vor ca. 20 Jahren durchaus, die den lokalen DNS geändert haben. Alle hatten immer Admin Rechte.
Sie sind schnell aufgeflogen da dieser Rechner seine Kollegen nicht im LAN erreichen können (außer sie benutzen Broadcasts was heute eher unüblich ist)
und es hat nichts mit dem Problem zu tun, das alle(!) 2 stellingen Subdomains von .de. seit 2008 vergeben sind. Siehe Quelle bei Heise aus 2008 zum Gerichtsurteil bez. VW.de.
Und wenn der Eigentümer von de.de einen Wildcard einrichtet, funktioniert bank.de.de. natürlich.
Wenn er nett ist,sagt er, das die Domain de.de. bei ihm gekauft werden kann.
Hier haben Halbwissende aus einer Mücke einen Elefanten gemacht.
Jeder Kommentar sind min. 3 Klicks
Ja, dachte ich, weil Du die verwendete IP Adresse nicht genannt hast…
Es gibt regelmäßig DNS, die bei jedem Aufruf eine andere IP Adresse ausliefert oder ein halbes Dutzend.
Insofern hat ein Portscan ohne Angabe der Target IP keinen Wert.
Und wenn Du gar einen externen Dienst verwendest, konnte der nochmals eine andere Target IP bekommen haben.
einfach das nächste mal die IP Adresse mitangegeben
Geolokalisiertes DNS ist nun wirklich nichts Neues und bei hoch frequentierten Domains Standard, um Deinen Request von einem (netztopologisch) möglichst nahen Server beantworten zu können.
Mach‘ Dir mal den Spaß eine solche Domain (z.B. http://www.microsoft.com oder protection.outlook.com, aber z.B. auch amazon.com) von verschiedenen Nameservern (z.B. 8.8.8.8, 1.1.1.1, 9.9.9.9 oder auch den Nameservern der Telekom) auflösen zu lassen, Du bekommst immer ein anderes Subset von IP Adressen.
Es gibt Firmen wie Akamai oder Cloudflare, deren Geschäftsmodell ist es, ein weltweites Content-Delivery-Network vorzuhalten und Requests möglichst „aus der Nähe“ und nicht um den halben Globus herum zu beantworten.
Die ersten Betrüger benutzen bereits de.com Adressen, um auf kleinanzeigen zu scammen:
https://www.reddit.com/r/de_EDV/comments/1e5ok38/was_für_eine_domain_ist_dhldecom
Derartigen Spam hatte ich schon in den letzten Jahren, hier zum Beispiel wird Aktivität aus 2023 gelistet: https://www.ipaddress.com/website/ww01.dhl.de.com/
Böse, aber nicht neu.