[GTER] uma ideia para discussão: SPF reverso.

Danton Nunes danton.nunes at inexo.com.br
Thu Aug 16 19:42:38 -03 2012


On Thu, 16 Aug 2012, Henrique de Moraes Holschuh wrote:

> Sugiro que não utilize MD5, e sim SHA256.  Não é questão de segurança,
> porque existem maneiras altamente triviais de inverter a pergunta "que
> domínios usam esse servidor MX".  É questão de aceleração por hardware
> (não é comum para MD5, mas é comum para AES e SHA-2 (SHA256, 384, 512) e
> estará largamente disponível na base instalada em 2 a 5 anos, à medida
> que os servidores são substituídos) e para evitar colisões.

então agora temos três candidatos a hash: MD5 (velho e sem suporte em 
hardware), SHA-1 e SHA-2/256.

> Existem diversas bases de dados que fazem o mapeamento (nome de domínio
> -> IP do MX), e publicam o resultado da busca reversa (IP do MX ->
> domínios). Essas bases de dados são utilizadas pelos serviços de
> reputação e para debugging.  Um exemplo de base de dados pública que faz
> esse mapeamento é a robtex.

mas o que eu quero é perguntar ao dono do IP e não a um terceiro.

> Sugiro que o esquema de hash não seja utilizado, ou que o mesmo seja
> utilizado unicamente para evitar o problema do número de componentes de
> sub-domínio (e esteja documentado desta forma).

mas é exatamente para evitar o problema de tamanho e o número de 
componentes que estamos apelando para o hash.

> Agora, considerando que pelos padrões de uso correntes, domínio de email
> que ultrapasse 93 componentes só pode ser obra de alguém mal
> intencionando querendo justamente evitar lookups em bases RHSBL, na
> minha opinião, embora utilizar um esquema baseado em hash que torna esse
> ataque impossível seja a solução técnica mais correta, considerando o
> uso em larga escala de RHSBLs, o melhor é contornar o problema recusando
> entrega.

não há suporte normativo para isso. ainda prefiro permitir os domínios 
mostrengos, ainda que não existam na prática do que ir contra as RFCs que 
definem o DNS.

> Sou de opinião que deveria propor-se ao WG da IETF que seja publicado um
> RFC específico, recomendando que o uso de quaisquer domínios com mais de
> X (por exemplo, X=64) componentes em qualquer um dos cabeçalhos e
> envelope de email implique na imediata rejeição ou descarte da mesma, ou
> alternativamente que seja publicado um RFC recomendando que os
> protocolos estilo RHSBL utilizem hash (e aí vai a dor de cabeça de mudar
> isso na produção).

bem, esse não é meu objeto. mas faz sentido.



More information about the gter mailing list