So überprüfen Sie Ihre Domain und vermeiden Subdomain-Hijacking
Jetzt ist die ideale Zeit für einen gründlichen Frühjahrsputz – nicht nur in Haus und Garten, sondern auch in Ihrer DNS-Verwaltung. Diese gerät im Alltag leicht in Vergessenheit, dabei ist eine regelmäßige Überprüfung unerlässlich. Nur so stellen Sie sicher, dass Ihre DNS-Einträge aktuell, korrekt und sicher sind. Ein gezielter „DNS-Frühjahrsputz“ schafft Ordnung und minimiert Risiken.
Warum eine regelmäßige DNS-Bereinigung unerlässlich ist
Moderne Unternehmen sammeln im Laufe der Zeit oft Dutzende von DNS-Einträgen an – viele davon verweisen auf Dienste, die nicht mehr existieren. Eine aktuelle Analyse von 440.000 DNS-Einträgen ergab, dass über 21 % auf Inhalte verweisen, die nicht mehr erreichbar sind. Der Grund dafür liegt häufig in einem Missverständnis: DNS wird oft als einmalig einzurichtende Komponente betrachtet. Doch im Laufe der Zeit ändern sich E-Mail-Anbieter, Websites werden migriert und SaaS-Dienst eingestellt und veraltete Einträge bleiben unbemerkt zurück.
Diese überflüssigen Einträge stellen auch ein Sicherheitsrisiko dar. Angreifer können sie gezielt übernehmen und für schädliche Zwecke nutzen. Ein besonderes Risiko stellt das Subdomain-Hijacking dar. Angreifer übernehmen dabei einen stillgelegten externen Dienst und hosten ihn unter der betroffenen Subdomain Malware oder Phishing-Seiten.
Typische Fallstricke bei DNS-Pflege
Selbst sorgfältige IT-Administratoren können Aspekte der DNS-Verwaltung übersehen. Hier sind einige typische Fallstricke:
- Veraltete Einträge: Viele DNS-Zonen enthalten veraltete A-, MX- oder CNAME-Einträge, die in Vergessenheit geraten sind. Oft werden solche Einträge für alle Fälle beibehalten, obwohl die entsprechenden Dienste seit Jahren nicht mehr genutzt werden. Dies führt zu einer unübersichtlichen und fehleranfälligen DNS-Konfiguration.
- Verwaiste SaaS-Subdomains: Häufig richten Unternehmen Subdomains wie blog.company.com oder app.company.com ein. Werden diese Dienste nicht mehr benötigt, die entsprechenden DNS-Einträge aber nicht gelöscht, besteht die Gefahr, dass die Subdomains von unbefugten Personen gekapert und missbraucht werden.
- Abgelaufene Domains in Verwendung: Wird eine Domain, die als Nameserver, CNAME-Ziel oder MX-Host dient, nicht verlängert, kann sie von Angreifern übernommen und zur Nachbildung der Infrastruktur missbraucht werden.
- Tippfehler in DNS-Einträgen: Scheinbar kleine Tippfehler in Domainnamen können den DNS-Traffic auf falsche Domains lenken, was zu unerwünschten Weiterleitungen führen kann.
- Wildcard-DNS-Einträge: Standard-Wildcard-Einträge wie *.company.com, die nicht sorgfältig konfiguriert werden, können zu unerwünschten Subdomains führen, die von Angreifern genutzt werden können.
Checkliste für Ihren DNS-Frühjahrsputz
Mit dieser Schritt-für-Schritt-Anleitung behalten Sie den Überblick über Ihre DNS-Verwaltung und sorgen für mehr Sicherheit und Ordnung:
- Erstellen Sie ein Inventar Ihrer Domains und DNS-Einträge: Listen Sie alle Domains auf, die Ihre Organisation nutzt, und halten Sie fest, bei welchem Anbieter diese gehostet werden.
- Exportieren Sie die DNS-Einträge: Verwenden Sie die Tools Ihres DNS-Providers, um alle aktuellen Einträge zu exportieren. IONOS hilft Ihnen beim Exportieren Ihrer Domain-Daten mit dieser Anleitung.
- Überprüfen Sie jeden Eintrag:
- Für jeden A-, AAAA-, CNAME-, MX-, TXT- und NS-Eintrag:
- Wird dieser Eintrag noch benötigt?
- Verweist er auf einen aktiven und aktuell genutzten Dienst?
- Wer ist intern dafür verantwortlich?
- Für jeden A-, AAAA-, CNAME-, MX-, TXT- und NS-Eintrag:
- Identifizieren Sie verwaiste Einträge: Verwenden Sie Tools, um CNAMEs oder A-Einträge zu erkennen, die auf nicht mehr aktive Dienste verweisen.
- Entfernen Sie ungenutzte oder verdächtige Einträge: Wenn ein Eintrag nicht zugeordnet werden kann und offenbar nicht mehr gebraucht wird, entfernen Sie ihn sicherheitshalber.
- Dokumentieren Sie alles: Dokumentieren Sie, welche Einträge Sie entfernt oder angepasst haben, inklusive Datum und Begründung.
- Validieren Sie die Änderungen: Überprüfen Sie, ob nach Ihren Änderungen alle DNS-Funktionen weiterhin korrekt arbeiten. Tools wie dig, nslookup oder DNSChecker können dabei helfen.
Nützliche Tools für die DNS-Analyse
Hier sind einige Tools, die bei der DNS-Analyse und der Suche nach DNS-Einträgen helfen:
- dig / nslookup: Befehlszeilen-Tools zur Überprüfung von DNS-Einträgen.
- OWASP Amass: Leistungsstarkes Tool zur Erkennung und Auflistung von Subdomains.
- Sublist3r / Subfinder: Einfache Tools zur Subdomain-Erkennung.
- Subjack / DNSReaper: Überprüfung auf anfällige Subdomains (Hijacking).
- DNSDumpster, VirusTotal, crt.sh: Online-Tools zur Recherche öffentlicher DNS- und Zertifikatsdaten.
- DNSSpy / Health-Checks.io: Tools zur Überwachung von DNS-Änderungen und Verfügbarkeit.
Saubere DNS-Verwaltung für mehr Sicherheit
Ihre DNS spiegelt die Struktur Ihrer Online-Infrastruktur wider. Ein regelmäßiger Frühjahrsputz hilft dabei, veraltete Einträge zu entfernen und potenzielle Sicherheitslücken zu schließen. Wer seine DNS-Verwaltung darüber hinaus strategisch absichert und kontinuierlich überwacht, schafft eine stabile Grundlage – auch für künftige Herausforderungen im digitalen Betrieb.
Weiterführende Links
- DNS-Verwaltung
- DNS-Einträgen
- Analyse von 440.000 DNS-Einträgen
- Subdomain-Hijacking
- csc.com
- SaaS-Dienst
- Pishing-Seiten
- A-, MX- oder CNAME-Einträge
- Wildcard-DNS-Einträge
- Exportieren von DNS-Daten
- dig
- nslookup
- OWASP Amass
- Sublist3r / Subfinder
- Subjack / DNSReaper
- DNSDumpster, VirusTotal, crt.sh
- DNSSpy / Health-Checks.io