[GTER] uma ideia para discussão: SPF reverso.

[Danton Nunes]

On Mon, 6 Aug 2012, Henrique de Moraes Holschuh wrote:

> Acho provável que vá precisar de mais aparato que só a chave.  Talvez dê
> para reusar partes do DNSSEC/NSEC3, tentar reinventar a roda em
> criptografia é absurdamente perigoso.  Ou isso, ou usar um esquema que
> não depende de criptografia (e que vai, necessariamente, ficar todo
> pendurado na zona reversa, ou na zona reversa e em uma zona auxiliar sob
> controle do proprietário do MX).

e isso não pode. como disse antes, não dá para perguntar para o Lobo Mau 
se ele é de fato mau. se tiver alguma zona que não a reversa em que se 
possa acreditar, esta não pode ser a do dono do domínio. tem que ser de 
alguém que responda pelo IP, não pelo domínio! porisso estou inclinado a 
não fazer qualquer delegação para quem não puder ter seu próprio 
.in-addr.arpa.

reconheço que há muitos casos em que a mesma pessoa responde tanto por um 
bloquinho de endereços IP quanto domínios hospedados nesses endereços, mas 
ainda que seja a mesma pessoa, são dois papéis distintos. Se não fossem 
distintos bastaria acreditar no SPF tradicional e assunto encerrado.

esse negócio de tentar resolver o problema do provedor de serviço de 
hospedagem que não tem um /24 completo está ficando complicado demais. o 
propósito deste protocolo é ser simples e rápido, de preferência 
necessitar de uma única consulta ao DNS para decidir se um par (domínio, 
endreço IP) é aceitável.

além disso eu gostaria de partir logo para experimentações, publicar 
registros, escrever um milter ou adaptar o spfmilter para tratar disto, 
afinal, vale o moto do IETF 'we believe in running code'.

-- Danton.