Umsatz um jeden Preis: falsche DNS-Antworten der Provider

Neben der juristischen Seite gibt es eine technische Sichtweise der Dinge. Dazu lässt sich feststellen, dass DNS-Fälschungen zu einer Reihe von Störungen führen können. Von der „Umleitung“ von nicht existierenden Domains durch DNS-Fälschungen ist nicht nur der Internetdienst World Wide Web betroffen, sondern auch alle anderen Dienste.

Dienste, die ohne Nutzerinteraktion weitgehend automatisiert arbeiten, werden durch DNS-Fälschungen in die Irre geführt. Davon sind beispielsweise E-Mails betroffen. Wenn sich ein Nutzer bei der E-Mail-Adresse vertippt, dann bekommt er normalerweise sofort eine E-Mail zurück mit dem Inhalt, dass die Domain nicht existiert. Gaukelt ein DNS-Server jedoch vor, die Domain gebe es, so versucht der Mailer in der Regel mehrere Tage, die E-Mail zuzustellen, bis er schließlich aufgibt. Hier helfen auch keine MX-Records, da RFC 2821 in Abschnitt 5 vorschreibt, dass eine Mail an die IP-Adresse des A-Records zuzustellen ist, wenn kein MX-Record vorhanden ist.

Diese technischen Probleme hat das Security and Stability Advisory Committee (SSAC) der ICANN bereits im Juni 2008 in einer Studie (PDF) beschrieben, die die Störungen von vielen Diensten und den negativen Einfluss auf Sicherheit und Stabilität im Internet nachweist. Darüber hinaus sehen die Autoren generelle Probleme, wenn ohne Kenntnis und Zustimmung des Domaininhabers oder des Benutzers Informationen, die der Domaininhaber für seine DNS-Zone festgelegt hat, durch einen Dritten auf dem Übertragungsweg verändert werden.

Einer der Technologieanbieter für DNS-Fälschungen ist die Firma Nominum. Der Vorsitzende des Verwaltungsrates und Chef-Wissenschaftler ist Paul Mockapetris, der Erfinder von DNS. Nominum will unter anderem bei den deutschen Providern die Technologie des für zunächst ein Jahr ausgesetzten Internetzensurgesetzes implementieren.

Im Gespräch mit ZDNet sieht Gopala Tumuluri, Vice President für Marketing bei Nominum, die Dinge anders: Sein Produkt Vantio NXR liefere nur dann falsche Ergebnisse, wenn die angefragte Domain mit www. beginne. Da es nicht üblich sei, dass andere Dienste als das World Wide Web auf Servern laufen, die mit www. beginnen, gebe es keine technischen Probleme.

Fehler schleichen sich jedoch dann ein, wenn etwa ein kleines oder mittelständisches Unternehmen mehrere Dienste wie Web, E-Mail und VoIP auf nur einem Server betreibt und dessen Name mit www. beginnt. Außerdem führt das Nominum-Konzept zu einer ganz neuen Art von Problemen. Wenn der DNS-Name www.diese-domain-gibts-nicht.de auf eine IP-Adresse umgebogen wird, dürfte sich manche Software daran stören, dass die Domain diese-domain-gibts-nicht.de mit einem NXDOMAIN-Fehler beantwortet wird. Domains, die es gar nicht gibt, können nämlich weder Hostnamen noch Subdomains haben.

Kabel Deutschland und T-Online verwenden die Technologie von Nominum. Eine nicht existierende Domain ohne www. am Anfang wird mit NXDOMAIN quittiert. Anders verhält sich beispielsweise Alice. Dort landet man auf einer unter dem Markennamen AOL betriebenen Suchseite, unabhängig davon, wie die Domain heißt.