Benutzer Pitt_g schrieb:
Es geht mir nicht um die IP des Clients sondern die des Servers, und bei IPV6 Only Anschlüssen zu IPV4 ist ein Fake DNS Eintrag im IPV6, kurz davor..
Server/IP liefert Zertifikat
Zertifkat enthält DNS Namen des Servers Client prüft ob der Reverse Lookup der IPV6 Adresse dessen der das Zertifkat liefert übereinstimmt mit dem DNS Namen im Zertifikat.
Fehlt quasi nur noch das Fake Zertiifkat einer Trusted CA
Clients machen keinen Reverse Lookup der Serveradresse. Nur Mailserver machen Reverse lookups der clients/anderer Mailserver
Und wie schon gesagt am Namen des Servers wird nichts geändert.
Name und Zertifikat stimmen nach wie vor über ein. Auch bringt ein sauber konfigurierter (nicht gehackter) DNS64/NAT64-Server die Pakete zum richtigen Server - mit der im A-Record hinterlegten IPv4-Adresse.
Und was die mögliche Manipulation von DNS betrifft - dagegen hilft DNSSEC - oder auch nicht.
DNSSEC+(IPV4)+IPv6 --> DNS64 macht keinerlei Änderungen-- > alles gut
DNSSEC+IPV4 ohne IPv6 --> DNS64 sprengt ggf. die Signatur, aber das ist auffällig --> Ausweg: nicht trauen oder über 464xlat die vertrauenswürdige Signatur für "A" wählen