[GTER] uma ideia para discussão: SPF reverso.
Danton Nunes
danton.nunes at inexo.com.br
Thu Aug 16 19:42:38 -03 2012
On Thu, 16 Aug 2012, Henrique de Moraes Holschuh wrote:
> Sugiro que não utilize MD5, e sim SHA256. Não é questão de segurança,
> porque existem maneiras altamente triviais de inverter a pergunta "que
> domínios usam esse servidor MX". É questão de aceleração por hardware
> (não é comum para MD5, mas é comum para AES e SHA-2 (SHA256, 384, 512) e
> estará largamente disponível na base instalada em 2 a 5 anos, à medida
> que os servidores são substituídos) e para evitar colisões.
então agora temos três candidatos a hash: MD5 (velho e sem suporte em
hardware), SHA-1 e SHA-2/256.
> Existem diversas bases de dados que fazem o mapeamento (nome de domínio
> -> IP do MX), e publicam o resultado da busca reversa (IP do MX ->
> domínios). Essas bases de dados são utilizadas pelos serviços de
> reputação e para debugging. Um exemplo de base de dados pública que faz
> esse mapeamento é a robtex.
mas o que eu quero é perguntar ao dono do IP e não a um terceiro.
> Sugiro que o esquema de hash não seja utilizado, ou que o mesmo seja
> utilizado unicamente para evitar o problema do número de componentes de
> sub-domínio (e esteja documentado desta forma).
mas é exatamente para evitar o problema de tamanho e o número de
componentes que estamos apelando para o hash.
> Agora, considerando que pelos padrões de uso correntes, domínio de email
> que ultrapasse 93 componentes só pode ser obra de alguém mal
> intencionando querendo justamente evitar lookups em bases RHSBL, na
> minha opinião, embora utilizar um esquema baseado em hash que torna esse
> ataque impossível seja a solução técnica mais correta, considerando o
> uso em larga escala de RHSBLs, o melhor é contornar o problema recusando
> entrega.
não há suporte normativo para isso. ainda prefiro permitir os domínios
mostrengos, ainda que não existam na prática do que ir contra as RFCs que
definem o DNS.
> Sou de opinião que deveria propor-se ao WG da IETF que seja publicado um
> RFC específico, recomendando que o uso de quaisquer domínios com mais de
> X (por exemplo, X=64) componentes em qualquer um dos cabeçalhos e
> envelope de email implique na imediata rejeição ou descarte da mesma, ou
> alternativamente que seja publicado um RFC recomendando que os
> protocolos estilo RHSBL utilizem hash (e aí vai a dor de cabeça de mudar
> isso na produção).
bem, esse não é meu objeto. mas faz sentido.
More information about the gter
mailing list