[GTER] uma ideia para discussão: SPF reverso.
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Mon Aug 6 10:00:01 -03 2012
On 03-08-2012 19:27, Roberto Alcântara wrote:
> Danton, não da no mesmo para quem precisa mudar muito - adicionar e
> remover domínios no servidor e não controla a zona reversa. Ao invés
> do cenário anterior, aonde cada novo domínio precisa de uma mudança
> na zona reversa, este so precisa da publicacao uma unica vez. Uma
> vez publicada a chave publica na zona reversa o cara que não tem
> controle sob o reverso pode adicionar quantos domínios desejar sem
> precisar pedir a operadora para fazê-lo, pois basta assinar a
> entrada txt do novo domínio, usando o par de chaves gerado
> inicialmente.
Não é tão simples. Precisa poder repudiar reuso. Tanto reuso no mesmo
domínio (você cancela o domínio. Alguém registra, coloca de volta as
RRs do R-SPF que você usava para autorizar, e faz estrago), quanto
reuso em outros domínios (esse é bem mais fácil de resolver).
Acho provável que vá precisar de mais aparato que só a chave. Talvez dê
para reusar partes do DNSSEC/NSEC3, tentar reinventar a roda em
criptografia é absurdamente perigoso. Ou isso, ou usar um esquema que
não depende de criptografia (e que vai, necessariamente, ficar todo
pendurado na zona reversa, ou na zona reversa e em uma zona auxiliar sob
controle do proprietário do MX).
--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464
Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
More information about the gter
mailing list