Является ли DNS-запись с подстановочными символами плохой практикой?

Я попросил своего хостера добавить три субдомена, все из которых указывают на IP записи A. Кажется, он просто добавил запись DNS с подстановочными знаками, потому что любой произвольный поддомен теперь разрешается в мой IP. Это нормально для меня с технической точки зрения, так как нет поддоменов, указывающих куда-либо еще. С другой стороны, мне не нравится, что он не делает то, что я просил. И поэтому мне интересно, есть ли другие причины, чтобы сказать ему, чтобы изменить это. Есть ли?

Единственный минус я нашел то , что кто - то может связать с помощью моего сайта http://i.dont.like.your.website.mywebsite.tld.

Если вы когда-нибудь разместите компьютер в этом домене, вы получите странные сбои в работе DNS, когда вы пытаетесь зайти на какой-нибудь случайный сайт в Интернете, вместо этого вы приходите к своему.

Подумайте: у вас есть домен example.com. Вы настраиваете свою рабочую станцию ​​и называете это. ... скажем , давайте, yukon.example.com. Теперь вы заметите, что в /etc/resolv.confнем есть строка:

search example.com

Это удобно, потому что это означает, что вы можете выполнять поиск по имени хоста, например, wwwкоторый будет www.example.comавтоматически искать вас. Но у него есть и темная сторона: если вы посещаете, скажем, Google, то он будет искать www.google.com.example.com, а если у вас будет подстановочный DNS, то он будет переходить на ваш сайт, и вместо того, чтобы обращаться к Google, вы попадете на свой собственный сайт.

Это в равной степени относится и к серверу, на котором вы используете свой веб-сайт! Если ему когда-либо придется вызывать внешние сервисы, то поиск имени хоста может завершиться таким же образом. Так, api.twitter.comнапример, вдруг становится api.twitter.com.example.com, маршруты прямо обратно на ваш сайт, и, конечно, не удается.

Вот почему я никогда не использую подстановочный DNS.

Является ли DNS-запись с подстановочными символами плохой практикой?

Лично мне это не нравится. Особенно, когда в этом домене есть машины. Опечатки не проверяются, ошибки менее очевидны ... но в этом нет ничего принципиального.

Единственный минус, который я обнаружил, заключается в том, что кто-то может ссылаться на мой сайт, используя http: //i.dont.like.your.website.mywebsite.tld .

Пусть ваш http-сервер перенаправит все такие запросы на правильные, канонические адреса или вообще не отвечает. Для nginx это будет что-то вроде :

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

а затем регулярный

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

Это все вопрос мнения. Для меня это не плохая практика.

Я создаю мультитенантное приложение, которое использует базу данных на каждого арендатора. Затем он выбирает базу данных, которая будет использоваться на основе субдомена.

Например milkman.example.comбудет использовать tenant_milkmanбазу данных.

Как это я отделил таблицы для каждого арендатора, как, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, на мой взгляд , является огромным намного легче поддерживать для этого конкретного приложения, вместо того , чтобы все пользователи из всех компаний в той же таблице.

[edit - Michael Hampton has a good point]

При этом, если у вас нет конкретной причины принять какой-либо (переменный) поддомен, как я, то вы не должны принимать их.

Другой проблемой здесь является SEO: если все они *.example.comпоказывают одинаковое содержание, на ваш сайт будут ссылаться плохо, по крайней мере, Google ( https://support.google.com/webmasters/answer/66359 ).

Это действительно плохая идея. Предположим, если вы хотите разместить один поддомен a.company.com на одном веб-сервере, а b.company.com на другом веб-сервере, возможно, другой поставщик услуг Интернета. Что ты будешь делать ?. Таким образом, DNS-символ подстановки не является вариантом, он должен быть точным, создать запись A для каждого поддомена и указать соответствующий IP-адрес. Есть шансы перенести ваш веб-сервер с одного провайдера на другого провайдера, в этом случае что вы будете делать?

Я знаю, что это старый вопрос, однако я хотел бы поделиться реальным примером того, как использование доменных имен может вызывать проблемы. Однако я собираюсь изменить имя домена, а также скрыть полную запись SPF, чтобы избежать смущения.

Я помогал кому-то, у кого были проблемы с DMARC, в рамках проверок я всегда просматривал запись DMARC с помощью DIG

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

Я также получил тот же результат, когда искал их запись DKIM.

Следовательно, электронные письма, отправленные с этого домена, получат сбой DKIM, так как модуль DKIM попытается выполнить синтаксический анализ записи SPF для ключа DKIM и произойдет сбой, а также получит Permerror для DMARC по той же причине.

Домены с подстановочными знаками могут показаться хорошей идеей, но их неправильная настройка может привести к возникновению всевозможных проблем.

Является ли DNS-запись с подстановочными символами плохой практикой?

Нет, и в отличие от других, я считаю, что это хорошая практика.

Большинство интернет-пользователей в какой-то момент тянут имя DNS. Они напишут ww.mycompany.comили wwe.mycompany.com Что бы вы предпочли «ооп, мы не смогли найти этот сайт» или чтобы они подняли вашу главную домашнюю страницу? Чаще всего предпочтительнее сделать так, чтобы они не открывали вашу главную домашнюю страницу. Это то, что делают много людей.

Даже если кто-то разместит ссылку на i.dont.like.your.website.whatever.comнее, она все равно откроет вашу домашнюю страницу, а это именно то, что вам нужно. В конце концов, они не могут заставить этот i.dont....сайт перейти на свой сервер, вы все еще контролируете маршрутизацию DNS, поэтому она переходит к вашему.

Я думаю, что лучшая причина не иметь записи DNS с подстановочными символами, во-первых, состоит в том, чтобы избегать передачи IP-адреса вашего сервера потенциальному злоумышленнику и снизить вероятность DDOS-атак. Это также рекомендуется для настройки Cloudflare: https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/