[GTER] uma ideia para discussão: SPF reverso.

Danton Nunes danton.nunes at inexo.com.br
Wed Aug 1 00:56:26 -03 2012 

Alguns requisitos para o SPF reverso.

Para quem pegou o bonde andando, no SPF o dono de um domínio diz quais são 
os IPs que podem enviar email desse domínio. No SPF reverso que estou 
propondo, é o dono do IP que vai dizer quais domínios podem enviar email 
desses endereços.

Requisitos.

1. Deve usar o DNS como base de dados distribuída, através dos domínios 
in-adr.arpa e ip6.arpa, pois controlar esses domínios é um bom sinal de 
controle sobre os endereços IP correspondentes.

2. Deve servir para endereços IP individuais. Blocos poderão ser simulados 
por coringas ou esquemas de geração automática de registros similares 
(como o $GENERATE do bind). Não haverá provisão para blocos, pois isto 
requeriria várias consultas ao DNS para decidir um par (domínio,endereço) 
e a intenção é que o protocolo seja rápido. Assim como no SPF direto, 
serão usados RRs do tipo TXT para codificar os resultados. NOTA: isto é 
provisório, pode ser que o TXT seja muito limitado para acomodar outros 
requisitos.

3. Para cada par (domínio,endereço) haverá um resultado que pode assumir 
os valores PASS, NEUTRAL, FAIL. Não vejo necessidade de um SOFTFAIL como 
no SPF clássico (RFC-4408). O resultado padrão, caso não haja um registro 
de política, será NEUTRAL. A semântica é a mesma da RFC-4408.

4. Não deve haver limitação para o número de domínios associados a cada 
endereço IP, caso contrário o protocolo não poderia ser aplicado a 
servidores que enviam mensagens de múltiplos domínios. NOTA: isto pode 
trazer problemas de implementação, já que pode haver limites práticos em 
RRs do tipo TXT e tenhamos que usar outro artifício.

5. Será permitido usar coringas (wildcards) para especificar os domínios.
Talvez valha a pena considerar também uma sintaxe semelhante às chaves do 
Bourne Shell, de modo que 'example.{com,net,org}' expandisse para 
'example.com example.net example.org'.

6. (questionável) Serão permitidas redireções (include) à maneira como se 
faz no SPF clássico.

Resumo: O dono do IP é capaz de retornar via DNS um resultado de 
autorização para cada par (domínio,endereço) para cada endereço que 
estiver sob seus .in-addr.arpa ou .ip6.arpa.

Sugestões são bem vindas, mas vamos focar no QUE queremos e não no COMO 
fazer, o que deixaremos para uma segunda fase.

-- Danton.

More information about the gter mailing list