[GTER] uma ideia para discussão: SPF reverso.

Miguel Oliveira miguel.bispo at iriustecnologia.com.br
Wed Aug 1 08:19:47 -03 2012


Danton,

A idéia é interessante.

Miguel Bispo

Em 01/08/2012, às 02:23, Danton Nunes <danton.nunes at inexo.com.br> escreveu:

> Alguns requisitos para o SPF reverso.
>
> Para quem pegou o bonde andando, no SPF o dono de um domínio diz quais são os IPs que podem enviar email desse domínio. No SPF reverso que estou propondo, é o dono do IP que vai dizer quais domínios podem enviar email desses endereços.
>
> Requisitos.
>
> 1. Deve usar o DNS como base de dados distribuída, através dos domínios in-adr.arpa e ip6.arpa, pois controlar esses domínios é um bom sinal de controle sobre os endereços IP correspondentes.
>
> 2. Deve servir para endereços IP individuais. Blocos poderão ser simulados por coringas ou esquemas de geração automática de registros similares (como o $GENERATE do bind). Não haverá provisão para blocos, pois isto requeriria várias consultas ao DNS para decidir um par (domínio,endereço) e a intenção é que o protocolo seja rápido. Assim como no SPF direto, serão usados RRs do tipo TXT para codificar os resultados. NOTA: isto é provisório, pode ser que o TXT seja muito limitado para acomodar outros requisitos.
>
> 3. Para cada par (domínio,endereço) haverá um resultado que pode assumir os valores PASS, NEUTRAL, FAIL. Não vejo necessidade de um SOFTFAIL como no SPF clássico (RFC-4408). O resultado padrão, caso não haja um registro de política, será NEUTRAL. A semântica é a mesma da RFC-4408.
>
> 4. Não deve haver limitação para o número de domínios associados a cada endereço IP, caso contrário o protocolo não poderia ser aplicado a servidores que enviam mensagens de múltiplos domínios. NOTA: isto pode trazer problemas de implementação, já que pode haver limites práticos em RRs do tipo TXT e tenhamos que usar outro artifício.
>
> 5. Será permitido usar coringas (wildcards) para especificar os domínios.
> Talvez valha a pena considerar também uma sintaxe semelhante às chaves do Bourne Shell, de modo que 'example.{com,net,org}' expandisse para 'example.com example.net example.org'.
>
> 6. (questionável) Serão permitidas redireções (include) à maneira como se faz no SPF clássico.
>
> Resumo: O dono do IP é capaz de retornar via DNS um resultado de autorização para cada par (domínio,endereço) para cada endereço que estiver sob seus .in-addr.arpa ou .ip6.arpa.
>
> Sugestões são bem vindas, mas vamos focar no QUE queremos e não no COMO fazer, o que deixaremos para uma segunda fase.
>
> -- Danton.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list