[MASOCH-L] Nova DNSBL brasileira

[Leandro Carlos Rodrigues]

Pessoal,

Tivemos que tirar o serviço "dnsbl.spfbl.net" do ar ontem, pelo menos 
para consulta pública, pois os créditos da minha VM na AWS acabaram 
depois que a taxa pulou para 3,2 milhões de consultas por dia.

Neste caso, como não tenho condições de arcar com uma VM maior, decidi 
usar uma outra estratégia. Porém para isso vou precisar da ajuda dos 
experts em redes desta lista.

A ideia seria descentralizar o serviço de consulta criando espelhos DNS 
do serviço DNSBL de tal forma que eu possa liberar consulta apenas para 
estes espelhos e os MXs de vocês consultem estes espelhos. Agora se 
quiserem disponibilizar estes espelhos para a consulta pública, fica a 
critério de cada um. A ideia é fazer que a quantidade total de consultas 
ao serviço matriz seja menor.

Eu e meus colegas tentamos algumas técnicas e tivermos alguns resultados 
não muito bons. Por exemplo, usando o bind como espelho com a seguinte 
configuração, vimos que as consultas que retornam NXDOMAIN não são 
colocadas em cache:

    #
    # named.conf
    #

    options {
         directory "/var/cache/bind";
         dnssec-validation auto;
         auth-nxdomain no;    # conform to RFC1035
         listen-on-v6 { none; };
         allow-recursion { any; };
         allow-query-cache { any; };
         dnssec-lookaside auto;
         allow-query { any; };
    };

    zone "dnsbl.spfbl.net <http://dnsbl.spfbl.net>" IN {
             type forward;
             forward only;
             forwarders { 54.233.69.71; };
    };

Gostaria de saber se existe alguma forma de mandar o bind criar cache 
dos resultados NXDOMAIN, estipulando por exemplo, um dia de TTL.

Atenciosamente,

Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100

Em 20/10/2015 10:28, Leandro Carlos Rodrigues escreveu:
> Bom dia pessoal.
>
> Ontem colocamos no ar uma nova versão do SPFBL na qual faz pontuação 
> de IPv6 quando a origem estiver usando IPv4 com pilha dupla.
>
> A técnica consiste em ver se o HELO aponta para o IPv4 e, se apontar, 
> agregar o IPv6 do mesmo HELO, se existir, no conjunto de identificação 
> do responsável pelo envio.
>
> Se a mensagem for denunciada, ambos IPs serão pontuados, o IPv4 e o IPv6.
>
> Hoje tivemos o primeiro bloqueio IPv6 
> (2a02:748:a800:ca7:ea75:b12d:58:c495) através do serviço DNSBL por 
> conta desta nova técnica:
>
>    root at allchem:~# dig @dnsbl.spfbl.net a
> 5.9.4.c.8.5.0.0.d.2.1.b.5.7.a.e.7.a.c.0.0.0.8.a.8.4.7.0.2.0.a.2.dnsbl.spfbl.net
>
>    ; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @dnsbl.spfbl.net a
> 5.9.4.c.8.5.0.0.d.2.1.b.5.7.a.e.7.a.c.0.0.0.8.a.8.4.7.0.2.0.a.2.dnsbl.spfbl.net
>    ; (1 server found)
>    ;; global options: +cmd
>    ;; Got answer:
>    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40030
>    ;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
>    ;; WARNING: recursion requested but not available
>
>    ;; QUESTION SECTION:
> ;5.9.4.c.8.5.0.0.d.2.1.b.5.7.a.e.7.a.c.0.0.0.8.a.8.4.7.0.2.0.a.2.dnsbl.spfbl.net.
>    IN A
>
>    ;; ANSWER SECTION:
> 5.9.4.c.8.5.0.0.d.2.1.b.5.7.a.e.7.a.c.0.0.0.8.a.8.4.7.0.2.0.a.2.dnsbl.spfbl.net.
>    8756 IN A 127.0.0.2
> 5.9.4.c.8.5.0.0.d.2.1.b.5.7.a.e.7.a.c.0.0.0.8.a.8.4.7.0.2.0.a.2.dnsbl.spfbl.net.
>    8756 IN TXT "http://spfbl.net/policy.html"
>
>    ;; Query time: 16 msec
>    ;; SERVER: 54.233.69.71#53(54.233.69.71)
>    ;; WHEN: Tue Oct 20 10:20:01 2015
>    ;; MSG SIZE  rcvd: 154
>
>    root at allchem:~#
>
> Agora os spammers não tem mais para aonde correr a fim de burlar o 
> SPFBL, até mesmo durante a transição de IPv4 para IPv6.
>
> Abraços,
>
> Leandro Carlos Rodrigues
> TI All Chemistry do Brasil
> (11) 3014-7100