Warnung bezüglich Anzeigen Ihrer Ursprungs-IP-Adresse über DNS-Einträge

Wenn Sie mit einer grauen Wolke markierte DNS-Einträge haben, weist Cloudflare Sie möglicherweise darauf hin, dass in Ihren DNS-Einträgen möglicherweise die IP-Adresse Ihres Ursprungsservers angegeben ist. Dies ist am häufigsten bei A-, AAAA-, CNAME- und MX-DNS-Einträgen der Fall.


Überblick

Wenn Ihre DNS-Einträge orangefarben unterlegt sind, beschleunigt und schützt Cloudflare Ihre Site.

Eine dig-Anfrage für Ihre mit einer orangefarbenen Wolke markierte Root-Domain gibt eine Cloudflare-IP-Adresse zurück. Auf diese Weise bleibt die IP-Adresse Ihres Ursprungsservers der Öffentlichkeit verborgen. Beachten Sie, dass die mit einer orangefarbenen Wolke markierten Vorteile nur für HTTP-Datenverkehr gelten.

Unter bestimmten Umständen wird im Bereich DNS-Einträge im Cloudflare-Dashboard in der DNS-App eine Warnung angezeigt, wenn mit einer grauen Wolke markierte DNS-Einträge vorliegen, die möglicherweise die IP-Adresse Ihres Ursprungsservers offen legen. Diese Warnung blockiert den für Ihre Website bestimmten Datenverkehr nicht und beeinträchtigt ihn in keiner Weise.

Wenn die IP-Adresse Ihres Servers offen gelegt wird, ist Ihr Server anfälliger für direkte Angriffe.  Wenn Datenverkehr mit Proxy zu Cloudflare weitergeleitet wird, können Angreifer die IP-Adresse Ihres Ursprungsservers immer noch ermitteln (es ist aber schwieriger).

Im Folgenden finden Sie zwei Fälle, in denen möglicherweise eine IP-Expositionswarnung von Cloudflare angezeigt wird.


Fall 1 – DNS-Einträge, die mit einer orangefarbenen Wolke markiert sein sollten

Wenn Sie die folgende Warnung sehen:

Dieser Datensatz zeigt die IP-Adresse Ihres Ursprungsservers an. Um Ihre Ursprungs-IP-Adresse zu verbergen und Ihre Serversicherheit zu erhöhen, klicken Sie auf die graue Wolke, um sie in eine orangefarbene Wolke zu ändern.

Cloudflare empfiehlt, den Datensatz mit einer orangefarbenen Wolke zu markieren, damit jede dig-Abfrage für diesen Datensatz eine Cloudflare-IP-Adresse zurückgibt und die IP-Adresse Ihres Ursprungsservers für die Öffentlichkeit verborgen bleibt.

Um die Leistungs- und Sicherheitsvorteile von Cloudflare zu nutzen, empfehlen wir Ihnen, DNS-Einträge, die den HTTP-Verkehr verarbeiten, einschließlich A, AAAA und CNAME, mit einer orangefarbenen Wolke zu markieren. Jedoch dürfen keine A-, AAAA- oder CNAME-Einträge, die zur Auflösung von MX-Einträgen verwendet werden, mit einer orangefarbenen Wolke markiert werden.  Wenn Sie zum Beispiel einen MX-Eintrag haben, der auf mail.example.com als Mailserver zeigt, wird Ihr E-Mail-Datenverkehr unterbrochen, wenn Sie den A-Eintrag für mail.example.com mit einer orangefarbenen Wolke markieren.


Fall 2 – DNS-Einträge, die mit einer grauen Wolke markiert sein müssen

Wenn Sie einen grau unterlegten A, AAAA, CNAME oder MX-Datensatz haben, der auf denselben Ursprungsserver verweist, auf dem sich Ihre Website befindet, zeigt Cloudflare eine der folgenden Warnungen an:

Ein A-, AAA-, CNAME- oder MX-Eintrag verweist auf Ihren Ursprungsserver, der Ihre Ursprungs-IP-Adresse offenlegt.

Dieser Eintrag zeigt die IP-Adresse Ihres Ursprungsservers an und kann ihn möglicherweise einem Denial-of-Service-Angriff aussetzen.

Wildcard „*“ DNS-Einträge können nur für Domains des Enterprise-Plans an Cloudflare weitergeleitet werden. Bei allen anderen Plänen gibt ein Wildcard-DNS-Eintrag die Ursprungs-IP-Adresse an.

Eine dig-Anfrage für diese Datensätze zeigt die IP-Adresse Ihres Ursprungsservers an. Diese Informationen erleichtern es potenziellen Angreifern, direkt auf Ihren Ursprungsserver zuzugreifen.

Es gibt jedoch Zeiten, in denen einige Ihrer DNS-Einträge mit einer grauen Wolke markiert bleiben müssen. Beispiel:

  • A-, AAAA- oder CNAME-Einträge, die für E-Mail-Datenverkehr verwendet werden, dürfen nicht mit einer orangefarbenen Wolke markiert werden, weil das E-Mail-Routing nicht durch Cloudflares Proxy gehen kann.
  • Wenn Sie mehrere Dienste (z. B. eine Website und eine E-Mail) auf demselben physischen Server hosten müssen

Um dieses Risiko zu minimieren, empfehlen wir Ihnen Folgendes:

  • Hosten Sie Ihren E-Mail-Dienst auf einem Server (intern oder extern), der sich vom Ursprungsserver Ihrer Website unterscheidet
  • Analysieren Sie die Auswirkungen des Hostens mehrerer Dienste auf demselben Ursprungsserver in Fällen, in denen grau unterlegte DNS-Einträge nicht vermieden werden können
  • Markieren Sie alle Datensätze, die dieselbe Ursprungs-IP-Adresse wie Ihre Stammdomain haben und sicher über Cloudflare weitergeleitet werden können, mit einer orangefarbenen Wolke
Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk