Re: [ml] Reverse DNS

> Skull wrote:
>
> > Marco wrote:
> > I reverse dns nel caso del controllo della posta non servono proprio a
> > niente di tutto quello che viene menzionato da chi si vanta di averli
> > attivati per proteggere la posta dei propri clienti: non proteggono dallo
> > spam, nè garatiscono l'identità del mittente. Però rallentano l'invio
> > della posta, e questo si che è un gran bel vantaggio..
> 
> Qui faccio un appunto perchè non condivido affatto la considerazione, per
> quanto mi trovi in accordo con il resto di ciò che scrivi (posto che non
> applico quel genere di filtraggio, comunque).
> 
> Il controllo di esistenza del reverse dns non ferma spam? *Molto*
> obiettabile: ne ferma parecchio, a chi lo usa. Solo, ha il problema di
> causare grosse quantità di falsi positivi.

Ma io non ho detto che non ferma lo spam, ho detto che non *protegge* dallo 
spam. A mio parere un sistema che crea una valanga di falsi positivi è da 
considerarsi non valido: se no a questo punto tanto vale staccare il cavo di 
rete e dire che si è risolto *definitivamente* il problema dello spam.
Il problema sta appunto nel fatto che il reverse dns non è una configurazione 
obbligatoria, e ognuno può decidere come fare, e anche che nome dare ai 
propri reverse. Come giustamente è stato detto io posso benissimo configurare 
un ip che risolva come reverse "mail.aol.com". Ovviamente facendo un 
ulteriore reverse del reverse si vede che l'ip originale non corrisponde 
all'ultimo ricavato, ma si sono già fatte almeno 2 query dns per ricavare una 
informazione che comunque non ti dà una risposta definitiva sul fatto che si 
tratti di uno spammer o no: tralasciando il caso "aol.com" che data la mole 
dell'impresa avrà pur qualche sysadmin competente in grado di gestire 
correttamente le cose, mi immagino i casi di piccoli provider o semplicemente 
uffici o privati che si vogliono installare sulle proprie macchine un server 
smtp da usare per mandare la posta, per evitare di usare server esterni (e le 
motivazioni valide per questa scelta sono molte, sulle quali non mi soffermo 
perchè vanno oltre l'argomento): dovrebbero forse configurarsi pure i dns 
loro stessi? E se hanno ip dinamici? Vengono tagliati fuori. E di nuovo qui 
si torna allo stesso punto, ovvero valanghe di falsi positivi.
Insomma, io non vedo nel reverse dns la soluzione allo spam, mentre è un buon 
sistema per complicare la vita della gente comune: uno spammer il modo di 
inviare le sue belle mail in ogni caso lo trova sempre, mentre un cliente no, 
e spesso se la può anche prendere con te perchè "non ti adegui alle novità 
della rete".

> Perchè ne ferma tanto? Per il semplice fatto che ci si aspetta che un server
> (e il nostro principale punto di contatto con il mondo esterno in primis)
> abbia una configurazione un pelo più "curata" e professionale rispetto al PC
> della segretaria o alla connessione ADSL che mio fratello usa per giocare.   
> L'rDNS ne fa parte.

Non vedo perchè si debba fare distinzione tra pc "professionali" e non. Cos'è 
che rende un pc professionale? E perchè uno dovrebbe essere autorizzato a 
mandare mail e un altro no, solo in base agli argomenti del loro contenuto 
(ludico, lavorativo o personale che sia)? Mi sembra che questo discorso vada 
in netto contrasto con la filosofia della rete, ovvero condividere le 
informazioni e dare a tutti quanti un sistema economico e funzionale per 
condividere ed accedere alle informazioni.

> Attualmente si sta pensando a meccanismi intricatissimi per sventare il
> forgery di tutto ciò che è coinvolto in una transazione SMTP. Ma c'è un sol
> forgery che, *tecnicamente* non è aggirabile per l'implementazione
> "canonica" del protocollo: il sender. In realtà tutto il resto, se fatto con
> i crismi, si fa.
> Se una macchina che si collega ad un mio server si presenta come
> "mail.aol.com", e se aol.com ha la zona diretta e inversa ben gestite (come
> le ha), dalle quali posso stabilire che quella macchina non è chi dice di
> essere, sono in grado in qualsiasi momento di mandarlo a quel paese.
> Questo, se fosse applicabile su ogni transazione SMTP (ovvero: se ognuno
> gestisse zona diretta e inversa in maniera decente) segherebbe le gambe
> *completamente* al meccanismo direct-to-MX, che rappresenta il 99% dello
> spam attuale.

E se la macchina si presenta invece come "pippo.spammer.com", oppure 
"angel.heaven.org", ed è effettivamente chi dice di essere, perchè il bravo 
spammer (che gestisce entrambe le macchine dell'esempio) ha configurato 
correttamente il reverse del suo/suoi ip? Che fai? Accetti o no? Il reverse 
lo ha configurato, quindi deve essere considerato un "buono"? Certo che no. E 
qui si presenta la necessità di gestire un database dei "buoni" e dei 
"cattivi". E chi lo gestisce?
Ovviamente senza contare che liste simili ci sono già (RBL e simili), senza la 
necessità dei reverse dns.
Un'altra volta si arriva allo stesso risultato: reverse non indispensabili, 
che non aggiungono niente di più (a parte i problemi prima citati) a quel che 
già si può fare.


> fine blaterazioni

Perchè blaterazioni?

Ciao

-- 
Marco
http://www.wizshelf.net