[GTER] uma ideia para discussão: SPF reverso.

Danton Nunes danton.nunes at inexo.com.br
Wed Aug 1 12:30:40 -03 2012


On Wed, 1 Aug 2012, Henrique de Moraes Holschuh wrote:

> On 01-08-2012 00:56, Danton Nunes wrote:
>> 1. Deve usar o DNS como base de dados distribuída, através dos
>> domínios in-adr.arpa e ip6.arpa, pois controlar esses domínios é um
>> bom sinal de controle sobre os endereços IP correspondentes.
>
> Boa ideia.
>
> Vai atrelar ao resultado retornado pela RRset PTR ?  Note que mais de um
> registro PTR é *explicitamente* uma configuração válida, definida no
> RFC-2181 (que é um daqueles RFCs que você ainda vai se arrepender de não
> ter lido).

eu tinha pensado inicialmente em TXT, mas não escala bem para endereços 
que enviam múltiplos domínios.

nem só de PTRs vive in-addr.arpa! ;)

>> 2. Deve servir para endereços IP individuais. Blocos poderão ser
>> simulados por coringas ou esquemas de geração automática de registros
>> similares (como o $GENERATE do bind). Não haverá provisão para
>> blocos, pois isto requeriria várias consultas ao DNS para decidir um
>> par (domínio,endereço) e a intenção é que o protocolo seja rápido.
>> Assim como no SPF direto, serão usados RRs do tipo TXT para codificar
>> os resultados. NOTA: isto é provisório, pode ser que o TXT seja muito
>> limitado para acomodar outros requisitos.
>
> Que tal usar a RR SPF ao invés de abusar de RRs TXT?  Outra alternativa
> é definir uma consulta SRV no espaço de DNS reverso.

sim, TEM QUE SER no DNS reverso, in-addr.arpa ou ip6.arpa, pois os 
subdomínios desses dois é que estão sob a autoridade do dono dos IPs.

depois comento o resto.




More information about the gter mailing list