ワイルドカードDNSレコードは悪い習慣ですか？

ホスティング業者に、すべてAレコードのIPを指す3つのサブドメインを追加するように依頼しました。ランダムなサブドメインはすべて私のIPに解決されるため、彼は単にワイルドカードDNSレコードを追加したようです。他の場所を指すサブドメインがないため、これは技術的な観点から私にとっては問題ありません。それから再び、私は彼が私が要求したことをしないことを彼が好きではない。それで、彼にそれを変えるように言う他の理由があるのだろうか。いずれかがあります？

私が見つけた唯一の否定は、誰かがを使用して私のサイトにリンクできることhttp://i.dont.like.your.website.mywebsite.tldです。

そのドメインにコンピューターを配置すると、奇妙なDNSエラーが発生します。インターネット上のランダムなサイトにアクセスしようとすると、代わりに自分のサイトに到着します。

考えてみてください：あなたはドメインを所有していますexample.com。ワークステーションをセットアップして、名前を付けます。...としましょうyukon.example.com。今、あなたは/etc/resolv.confそれが行を持っていることに気付くでしょう：

search example.com

これは、たとえばホスト名wwwをwww.example.com自動的に検索するホスト名検索を実行できることを意味するため、便利です。しかし、それは暗い面を持っています：たとえばGoogleにアクセスすると、を検索しwww.google.com.example.com、ワイルドカードDNSがある場合、それはあなたのサイトに解決され、Googleに到達する代わりにあなた自身のサイトに行き着きます。

これは、Webサイトを実行しているサーバーにも同様に適用されます！外部サービスを呼び出す必要がある場合、ホスト名の検索も同じように失敗する可能性があります。だから、api.twitter.comたとえば急になり、api.twitter.com.example.comルートに直接戻ってあなたのサイトに、そしてもちろん失敗します。

これが、ワイルドカードDNSを使用しない理由です。

ワイルドカードDNSレコードは悪い習慣ですか？

個人的には、私はそれが好きではありません。特に、そのドメインにマシンがある場合。タイプミスはチェックされず、エラーはそれほど明白ではありません...しかし、根本的に何も悪いことはありません。

私が見つけた唯一のマイナスは、誰かがhttp：//i.dont.like.your.website.mywebsite.tldを使用して私のサイトにリンクできることです。

httpサーバーに、そのようなすべての要求を適切な正規アドレスにリダイレクトさせるか、まったく応答させないようにします。nginxの場合、次のようになります。

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

そして、レギュラー

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

それはすべて意見の問題です。私にとっては悪い習慣ではありません。

テナントごとにデータベースを使用するマルチテナントアプリを作成しています。次に、サブドメインに基づいて使用するデータベースを選択します。

たとえばmilkman.example.com、tenant_milkmanデータベースを使用します。

このように私は、テナントごとにテーブルを分離している、のような、tenant_milkman.users、tenant_fisherman.users、tenant_bobs_garage.users、私の意見では代わりに、同じテーブル内のすべての企業からのすべてのユーザーを有していると、この特定のアプリのために維持するために巨大な多くの方が簡単です。

[edit - Michael Hampton has a good point]

そうは言っても、（変数）サブドメインを受け入れる特定の理由がない場合は、私はそうしますが、それらを受け入れるべきではありません。

ここでのもう1つの問題はSEOです。すべて*.example.comが同じコンテンツを表示している場合、少なくともGoogle（https://support.google.com/webmasters/answer/66359）によってWebサイトが誤って参照されます。

これは本当に悪い考えです。1つのWebサーバーで1つのサブドメインa.company.comをホストし、別のWebサーバーでb.company.comを別のISPにホストする場合を考えます。あなたは何をしますか？したがって、ワイルドカードDNSはオプションではありません。正確である必要があり、各サブドメインのAレコードを作成し、関連するIPを指します。WebサーバーをあるISPから別のISPに移動する可能性がありますが、この場合はどうしますか？

これは古い質問ですが、ワイルドカードドメインを使用すると問題が発生する可能性があるという現実の例を共有したいと思います。ただし、ドメイン名を変更し、SPFレコード全体を非表示にして、恥ずかしさを保存します。

DMARCで問題を抱えている人を助けていました。チェックの一環として、DIGで常にDMARCレコードを検索しました

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

彼らのDKIMレコードを探したときも同じ結果を得ました。

その結果、このドメインから送信された電子メールは、DKIMモジュールがDKIMキーのSPFレコードの解析を試みて失敗し、同じ理由でDMARCのPermerrorを取得するため、DKIMが失敗します。

ワイルドカードドメインは良いアイデアのように思えるかもしれませんが、間違って設定すると、あらゆる種類の問題を引き起こす可能性があります。

ワイルドカードDNSレコードは悪い習慣ですか？

いいえ、他の人とは反対に、それは良い習慣だと思います。

ほとんどのインターネットユーザーは、ある時点でDNS名をファットフィンガーします。 「そのサイトが見つかりませんでした」と入力しww.mycompany.comたりwwe.mycompany.com、プライマリホームページを表示したりするにはどうすればよいですか。多くの場合、プライマリホームページをプルアップしないことが望ましいです。それは多くの人がすることです。

誰かがi.dont.like.your.website.whatever.comそれへのリンクを置いたとしても、あなたのホームページをプルアップするでしょう、それは実際あなたが望むものです。結局のところ、彼らはそのi.dont....サイトを彼らのサーバーに行かせることはできません。

そもそもDNSカードをワイルドカードにしないのが最善の理由は、サーバーのIPアドレスを潜在的な攻撃者に渡さないようにし、DDOS攻撃への暴露を減らすことだと思います。これはCloudflareによる推奨セットアップでもあります：https : //blog.cloudflare.com/ddos-prevention-protecting-the-origin/