[GTER] uma ideia para discussão: SPF reverso.

[Henrique de Moraes Holschuh]

On 03-08-2012 19:27, Roberto Alcântara wrote:
> Danton, não da no mesmo para quem precisa mudar muito - adicionar e
> remover domínios no servidor e não controla a zona reversa. Ao invés
>  do cenário anterior, aonde cada novo domínio precisa de uma mudança
>  na zona reversa, este so precisa da publicacao uma unica vez. Uma
> vez publicada a chave publica na zona reversa o cara que não tem
> controle sob o reverso pode adicionar quantos domínios desejar sem
> precisar pedir a operadora para fazê-lo, pois basta assinar a
> entrada txt do novo domínio, usando o par de chaves gerado
> inicialmente.

Não é tão simples.  Precisa poder repudiar reuso.  Tanto reuso no mesmo
domínio (você cancela o domínio.  Alguém registra, coloca de volta as
RRs do R-SPF que você usava para autorizar, e faz estrago), quanto
reuso em outros domínios (esse é bem mais fácil de resolver).

Acho provável que vá precisar de mais aparato que só a chave.  Talvez dê
para reusar partes do DNSSEC/NSEC3, tentar reinventar a roda em
criptografia é absurdamente perigoso.  Ou isso, ou usar um esquema que
não depende de criptografia (e que vai, necessariamente, ficar todo
pendurado na zona reversa, ou na zona reversa e em uma zona auxiliar sob
controle do proprietário do MX).

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.