Когда документация превращается в инфраструктуру: скрытая угроза копипаста

В NameOcean мы часто разбираем вопросы безопасности доменов, настройки DNS и правильной организации инфраструктуры. Но есть одна уязвимость в IT-мире, о которой редко говорят: что если документация сама становится частью вашей системы?

Год назад исследователь по безопасности купил домен third-party-example.com — обычный .com, который никто раньше не регистрировал. Через пару дней в его почту посыпались реальные DMARC-отчеты. За пару недель их прислали больше 22 компаний. Никто из них даже не подозревал.

Секрет в том, что этот домен мелькал в примерах из документации Cloudflare по DMARC. Компании просто скопировали настройки в свои production DNS-записи, не заменив пример на свои адреса.

Проблема цепочки в документации

Это не вина только Cloudflare — и оттого особенно тревожно. Тот же пример домена тиражировался в разных языковых версиях их гайдов, а потом разошелся по восьми другим источникам. Когда такой сниппет разлетается по экосистеме, он перестает быть просто текстом. Это уже как уязвимость в software supply chain.

Виноваты наши привычки: все копируют примеры. Настраиваешь DMARC впервые — видишь example@third-party-example.com в авторитетном источнике, вставляешь в TXT-запись DNS и забываешь. Документация для многих — это не подсказка, а готовый код для деплоя.

Что именно утекло наружу

Давайте разберем, почему это критично. DMARC-отчеты раскрывают:

• Полный список email-инфраструктуры: кто шлет ваши транзакционные письма, платформы для рассылок, IP-адреса бэкапов.
• Паттерны неудачных аутентификаций: сколько и откуда идут фейлы SPF/DKIM.
• Атаки на спуфинг: кто подделывает ваш домен, откуда и в каком объеме.
• Связи с партнерами: интеграции с клиентами, вендорами — все видно по конвертам писем.
• Зависимости от сервисов: кто релеит или обрабатывает вашу почту.

Это не классическая утечка с паролями или PII. Но для хакеров — идеальная карта: ваши вендоры, слабости аутентификации, партнеры. И все это приходит ежедневно, автоматически, без вашего ведома.

Главные выводы для вашей инфраструктуры

Из этого случая три ключевых урока:

Во-первых: примеры в документации должны использовать только IANA-reserved домены. Не только .example.com для базовых случаев, но и резервы для сложных. third-party-example.com кажется безопасным, но его можно купить — и использовать против вас.

Во-вторых: конфиги не должны быть готовыми к копипасту в прод. Добавляйте маркеры вроде CHANGEME_, чтобы заставить человека подумать. Немного неудобства — но оно спасает.

В-третьих: перед деплоем проверяйте. Настраиваете DMARC в DNS? Убедитесь, что адрес репорта ваш. Протестируйте, прежде чем пушить в authoritative записи.

Как это меняет подход к доменам

В NameOcean DNS — это инфраструктура, основа работы домена в сети. Относитесь к настройкам как к production-коду: не копируйте слепо, разбирайтесь. Не деплоите изменения на авось.

Те 22 компании имели рабочий DMARC. Но из-за копипаста из доков их системы стали каналом слежки.

Это не упрек Cloudflare или кому-то еще. Проблема в том, что отрасль видит примеры как справочник, а они — живая инфраструктура. Пока не начнем проверять их как код, такие дыры будут всплывать.

В следующий раз, копируя пример в прод, остановитесь. Проверьте, подходит ли он вам. Замените плейсхолдеры осознанно. Документация сегодня — это не просто слова. Она и есть ваша инфраструктура.