[MASOCH-L] DNSBL Brasileira

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Wed Nov 4 08:15:34 -03 2015 

É isso mesmo pessoal. Estou controlando o serviço para que somente 
brasileiros utilizem-no a fim de minimizar os riscos de ataque e também 
para não haver consumo excessivo do mesmo.

Aproveitando a mensagem, gostaria de tentar entender um pequeno problema 
que está incomodando alguns colegas.

Para demostrar o problema, eu implementei um teste positivo e negativo 
do DNSBL do SPFBL.

Consulta sempre negativa:

    1.0.0.127.dnsbl.spfbl.net

Consulta sempre positiva:

    2.0.0.127.dnsbl.spfbl.net

Agora vamos ao problema.

Quando eu faço as consultas diretamente pelo dig sem DNS intermediário, 
obtenho as respostas aparentemente corretas de acordo com o protocolo DNSBL:

    root at allchem:~# dig @matrix.spfbl.net A 1.0.0.127.dnsbl.spfbl.net

    ; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @matrix.spfbl.net A
    1.0.0.127.dnsbl.spfbl.net
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 23053
    ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
    ;; WARNING: recursion requested but not available

    ;; QUESTION SECTION:
    ;1.0.0.127.dnsbl.spfbl.net.     IN      A

    ;; ANSWER SECTION:
    dnsbl.spfbl.net.        3600    IN      SOA dnsbl.spfbl.net.
    dnsbl.spfbl.net. 2015102500 1800 900 604800 86400

    ;; Query time: 18 msec
    ;; SERVER: 54.233.69.71#53(54.233.69.71)
    ;; WHEN: Wed Nov  4 07:48:57 2015
    ;; MSG SIZE  rcvd: 79

    root at allchem:~# dig @matrix.spfbl.net A 2.0.0.127.dnsbl.spfbl.net

    ; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @matrix.spfbl.net A
    2.0.0.127.dnsbl.spfbl.net
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25529
    ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
    ;; WARNING: recursion requested but not available

    ;; QUESTION SECTION:
    ;2.0.0.127.dnsbl.spfbl.net.     IN      A

    ;; ANSWER SECTION:
    2.0.0.127.dnsbl.spfbl.net. 0    IN      A       127.0.0.2

    ;; Query time: 18 msec
    ;; SERVER: 54.233.69.71#53(54.233.69.71)
    ;; WHEN: Wed Nov  4 07:48:44 2015
    ;; MSG SIZE  rcvd: 59

    root at allchem:~# 

Agora se as mesmas consultas forem feitas pelo Google por exemplo, 
quando dá negativo retorna SERVFAIL e o positivo retorna correto:

    root at allchem:~# dig @8.8.8.8 A 1.0.0.127.dnsbl.spfbl.net

    ; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @8.8.8.8 A
    1.0.0.127.dnsbl.spfbl.net
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 20432
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;1.0.0.127.dnsbl.spfbl.net.     IN      A

    ;; Query time: 116 msec
    ;; SERVER: 8.8.8.8#53(8.8.8.8)
    ;; WHEN: Wed Nov  4 08:07:32 2015
    ;; MSG SIZE  rcvd: 43

    root at allchem:~# dig @8.8.8.8 A 2.0.0.127.dnsbl.spfbl.net

    ; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @8.8.8.8 A
    2.0.0.127.dnsbl.spfbl.net
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53999
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;2.0.0.127.dnsbl.spfbl.net.     IN      A

    ;; ANSWER SECTION:
    2.0.0.127.dnsbl.spfbl.net. 0    IN      A       127.0.0.2

    ;; Query time: 457 msec
    ;; SERVER: 8.8.8.8#53(8.8.8.8)
    ;; WHEN: Wed Nov  4 08:07:37 2015
    ;; MSG SIZE  rcvd: 59

    root at allchem:~#

Retornando SERVFAIL, se algum MTA estiver consultando o serviço através 
do Google por exemplo receberá alguns warnings no LOG do MTA, mas só 
para as respostas negativas.

Isso está me intrigando porque não tenho conhecimento suficiente em 
redes para saber o que estou fazendo de errado e, até aonde sei, estou 
fazendo tudo correto.

Alguém consegue me explicar o que estou fazendo de errado? Se precisarem 
de acesso ao serviço para fazerem testes de consultas a fim de descobrir 
o problema, é só me passarem os blocos IP dos terminais de consulta.

Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100

Em 03/11/2015 17:16, Alexandre J. Correa (Onda) escreveu:
> para o uso da lista DNSBL nao precisa de script é so configurar o IP 
> do serviço ...
>
> ele retorna no mesmo formato da spamcop.
>
> O leandro, mantedor do projeto, talvez tenha que liberar o ip do seu 
> servidor para fazer as consultas...
>
>
> Em 03/11/2015 15:31, Eduardo Porte escreveu:

More information about the masoch-l mailing list