Re: [ml] Reverse DNS

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2005 ml@sikurezza.org
Soggetto: Re: [ml] Reverse DNS
Mittente: Skull
Data: Thu, 10 Nov 2005 13:10:24 +0100 (CET)

Marco wrote:

I reverse dns nel caso del controllo della posta non servono proprio a niente di tutto quello che viene menzionato da chi si vanta di averli attivati per proteggere la posta dei propri clienti: non proteggono dallo spam, nè garatiscono l'identità del mittente. Però rallentano l'invio della posta, e questo si che è un gran bel vantaggio..

Qui faccio un appunto perchè non condivido affatto la considerazione, per quanto mi trovi in accordo con il resto di ciò che scrivi (posto che non applico quel genere di filtraggio, comunque).

Il controllo di esistenza del reverse dns non ferma spam? *Molto* obiettabile: ne ferma parecchio, a chi lo usa. Solo, ha il problema di causare grosse quantità di falsi positivi.

Perchè ne ferma tanto? Per il semplice fatto che ci si aspetta che un server (e il nostro principale punto di contatto con il mondo esterno in primis) abbia una configurazione un pelo più "curata" e professionale rispetto al PC della segretaria o alla connessione ADSL che mio fratello usa per giocare. L'rDNS ne fa parte.

Le connessioni customer, principale origine del problema spam, invece, non rispettano gli stessi crismi, perchè non interessano a nessuno.

Attualmente si sta pensando a meccanismi intricatissimi per sventare il forgery di tutto ciò che è coinvolto in una transazione SMTP. Ma c'è un sol forgery che, *tecnicamente* non è aggirabile per l'implementazione "canonica" del protocollo: il sender. In realtà tutto il resto, se fatto con i crismi, si fa.

Se una macchina che si collega ad un mio server si presenta come "mail.aol.com", e se aol.com ha la zona diretta e inversa ben gestite (come le ha), dalle quali posso stabilire che quella macchina non è chi dice di essere, sono in grado in qualsiasi momento di mandarlo a quel paese.

Questo, se fosse applicabile su ogni transazione SMTP (ovvero: se ognuno gestisse zona diretta e inversa in maniera decente) segherebbe le gambe *completamente* al meccanismo direct-to-MX, che rappresenta il 99% dello spam attuale.


fine blaterazioni

Messaggi successivi:
- Re: [ml] Reverse DNS, Micky

In risposta a:
- [ml] Reverse DNS, help desk
- Re: [ml] Reverse DNS, Alessio Cecchi
- Re: [ml] Reverse DNS, Marco

Data:
- precedente: Re: [ml] Autenticazione SSH, Alfredo Cozzino
- successivo: Re: [ml] Reverse DNS, G.LaForge
- indice

Argomento:
- precedente: Re: [ml] Reverse DNS, Marco
- successivo: Re: [ml] Reverse DNS, Micky
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005