[GTER] uma ideia para discussão: SPF reverso.

[Henrique de Moraes Holschuh]

On 06-08-2012 10:38, Roberto Alcântara wrote:
>>> Danton, não da no mesmo para quem precisa mudar muito -
>>> adicionar e remover domínios no servidor e não controla a zona
>>> reversa. Ao invés do cenário anterior, aonde cada novo domínio
>>> precisa de uma mudança na zona reversa, este so precisa da
>>> publicacao uma unica vez. Uma vez publicada a chave publica na
>>> zona reversa o cara que não tem controle sob o reverso pode
>>> adicionar quantos domínios desejar sem precisar pedir a operadora
>>> para fazê-lo, pois basta assinar a entrada txt do novo domínio,
>>> usando o par de chaves gerado inicialmente.
>
>> Não é tão simples.  Precisa poder repudiar reuso.  Tanto reuso no
>> mesmo domínio (você cancela o domínio.  Alguém registra, coloca de
>> volta as RRs do R-SPF que você usava para autorizar, e faz
>> estrago), quanto reuso em outros domínios (esse é bem mais fácil
>> de resolver).
>
> Se o cara que tem a chave privada dos IPs resolvesse reusar um
> domínio nenhuma das soluções vai funcionar, porque estamos confiando
> na opinião de quem controla a zona reversa.

Como você invalidou a assinatura?  Vai precisar trocar alguma informação
na zona reversa que invalida ou este domínio, ou todos eles (e portanto
precisa ajustar em todos os outros domínios).  Cadê esse mecanismo?

> Reuso em outros domíos não dá, porque a assinatura nao vai bater
> (essa informação - o próprio domínio - precisa estar no conjunto
> assinado).

Sim, essa é a parte fácil.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.