[GTER] uma ideia para discussão: SPF reverso.

Danton Nunes danton.nunes at inexo.com.br
Fri Aug 17 11:30:24 -03 2012 

On Fri, 17 Aug 2012, Henrique de Moraes Holschuh wrote:

>>> Existem diversas bases de dados que fazem o mapeamento (nome de
>>> domínio -> IP do MX), e publicam o resultado da busca reversa (IP
>>> do MX -> domínios). Essas bases de dados são utilizadas pelos
>>> serviços de reputação e para debugging. Um exemplo de base de dados
>>> pública que faz esse mapeamento é a robtex.
>>
>> mas o que eu quero é perguntar ao dono do IP e não a um terceiro.
>
> E?  Leia de novo o que eu escrevi, e ao que eu estava respondendo.

o MX não vem ao caso. o MX indica quem RECEBE email, estou interessado em 
quem TRANSMITE. OK, via de regra são o mesmo cara, mas isso não é regra 
geral.

recapitulando o objetivo desta proposição: no SPF a gente pergunta para o 
dono do domínio se o IP é legal. aqui perguntamos ao dono do IP se o 
domínio é legal.

> Hash não ajuda a esconder quais domínios o IP serve.

mas um único TXT, somente com a resposta PASS, NEUTRAL, FAIL, por par 
(domínio,IP), sim, pois quando se faz a consulta retornará uma única 
resposta somente a respeito do domínio considerado, e não de qualquer 
outro.

>> mas é exatamente para evitar o problema de tamanho e o número de
>> componentes que estamos apelando para o hash.
>
> Então não mencione esconder para quais domínios o IP é utilizado quando
> justificar o uso do hash.  Pelo contrário, mencione na seção de fatores
> relevantes à segurança que o uso de hash pode levar a uma falsa sensação
> de privacidade, que não existe.

acho que você não está entendendo o que vai a bordo do TXT. Não é uma 
lista no estilo do SPF, é apenas o resultado final. o RR tem a forma:

hash(domínio).ip reverso.in-addr.arpa (ou ip6.arpa) in txt "rspf/1 resultado"

tendo um domínio e um ip: example.com e 203.0.113.29, construo o nome

0caaf24ab1a0c33440c06afe99df986365b0781f.29.113.0.203.in-addr.arpa,

onde 0caaf24ab1a0c33440c06afe99df986365b0781f é o hash de example.com, e 
29.113.0.203 é o IP invertido por octetos. Interrogo o DNS pedindo um RR 
do tipo TXT. Aí a coisa segue assim:

deu NXDOMAIN? => retorna NEUTRAL;
RRset vazio? => retorna NEUTRAL;
Há um RR começando por "rspf/1 "? => retorna o que estiver escrito
Há mais de um RR começando por "rspf/1 "? => retorna ERRO (NEUTRAL?)
Não há RR começando por "rspf/1 "? =>  retorna NEUTRAL;

> Nada contra, suponho que dar o exemplo no RSPF é uma boa ideia, e evitar
> o problema da quantidade de subdomínios é uma razão muito boa para usar
> o hash.

de fato, por enquanto, é a única.

-- Danton.

More information about the gter mailing list