DNS AXFR — убедиться что zone transfer закрыт
Мисконфигурация name-server открыла AXFR на интернет — все ваши поддомены, MX, TXT (включая SPF DKIM ключи) видны атакующему. Ежедневный чек с алертом.
Рецепт
#!/usr/bin/env bash
DOMAIN="${1:-example.com}"
NS=$(dig +short NS "$DOMAIN" | head -1)
RESP=$(dig +short axfr "$DOMAIN" "@$NS" 2>&1)
if echo "$RESP" | grep -q "Transfer failed\|REFUSED\|NOTAUTH"; then
echo "ok"
else
if [ -n "$RESP" ] && [ "$(echo "$RESP" | wc -l)" -gt 1 ]; then
echo "leak $(echo "$RESP" | wc -l) records visible from internet"
exit 1
fi
echo "ok"
fiТо же самое в Enterno.io
Базовая проверка — у нас в DNS-инструменте уже есть AXFR-зонд. Поднимите этот скрипт + heartbeat и получайте daily-confirmation что zone-transfer закрыт.
Похожие рецепты
Маркетолог-стажёр меняет DMARC с <code>p=quarantine</code> на <code>p=none</code> ради «исправить bounce» — через час Gmail помечает все рассылки как спам.
Один из публичных DNS-резольверов (1.1.1.1, 8.8.8.8) deg для региона. Ваш сайт «работает», но половина пользователей видит «server not found» — uptime-monitor молчит.
Сайт в HSTS preload-листе, но после рефакторинга nginx конфиг заголовок пропал. Через 3 месяца домен будет удалён из preload-листа. Нужен ежедневный чек.