<<< Date Index >>>     <<< Thread Index >>>

Re: Verisign SiteFind



On Tue, Sep 16, 2003 at 09:23:23PM +0200, Florian Weimer wrote:
> Nils Ketelsen <nils@xxxxxxxxxxxxxxxxxxxxxxxxx> writes:
> > On Tue, Sep 16, 2003 at 05:07:50PM +0200, Florian Weimer wrote:

> > 1. "sender_verify", also die Funktion die Absenderdomain einer mail auf
> > Existenz zu prüfen um Spammer abzuwehren, funktioniert jetzt wesetlich
> > seltener. Also wieder ein Paar Spammer mehr die durchkommen.
> Ich mache ganz gute Erfahrungen mit Callout-Prüfung. Das funktioniert
> bei Exim, wenn man besagte IP-Adresse mit ignore_target_hosts erdet.

Callout-Prüfung heisst, er guckt nicht nur, ob der host existiert, sondern
auch, ob der LowestMX (oder in Ermengelung dessen der A) mails für den
Absender annehmen würde?

> > 2. Skripte um Webseiten auf ungültige Links zu ueberpruefen kann man sich
> > jetzt auch in die Haare schmieren, weil ja alles existiert (obwohl: Gerade
> > jetzt bekomme ich von der Verisign-Möhre nur noch connection refused). 
> 
> Interessanter Punkt.
> 
> Das bringt mich auf eine Idee: Vielleicht sollte man einen
> Protest-Web-Bug auf seine Seiten setzen?

Oder einfach nur einige Webseiten mit (zusammen) hundert Millionen Links
auf zufällige domainnamen verteilen. Und dann mal sehen, was google und co
verisign so antun.

Das ganze ist sicher spannend, wenn man an die Daten von Verisign rankommt.
Zumindest aus Forscher sicht. Viele Dinge, die da passieren können sind
unheimlich schwer einzuschätzen.

> > 3. Man kann spannende Statistiken machen und so Domainnamen später Bewerten,
> > die noch nicht vergeben sind (1$ pro Aufruf vor Vergabe, vielleicht?)
> Man munkelt, daß sie das schon vorher machten. Technisch war das ja
> möglich.

Über Logs der DNS-Server meinst Du? Ja, das stimmt auch wieder.

> > 4. Man kann sehen, wer welche mails an wen zu schicken versucht (obwohl ich
> > glaube, dass der Mail-Ablehner dazu noch zu doof ist). Und was ist erst wenn
> > der anfaengt die Mails anzunehmen? Duerfte eine interessante Datensammlung
> > werden. Warum muss auf dem host eigentlich ueberhaupt etwas auf port 25
> > lauschen?
> Weil sonst die Queues volliefen. RST auf ein SYN ist nur ein
> temporärer Fehler.

Dank wildcard DNS hat man also die Wahl zwischen erhängen und erschießen.
Prima. 

> Es gibt keine allgemein funktionierende Möglichkeit zu signalisieren,
> daß ein Host, unabhängig von irgendwelchen DNS-Einträgen, nicht am
> Mail-Verkehr teilnimmt.

Da wäre wohl das einzig mögliche nicht mehr an A-Records zuzustellen. Damit
könnte ein host von vornherein deutlich machen, ob er mail will (dann hat er
einen MX) oder nicht.

> > 5. <Geruecht> Bei der Suchfunktion, die man auf der vertipper-Seite findet
> > bezahlen die Betreiber um weit oben auf der Liste der Suchergebnisse zu
> > landen. Und zwar zahlen die pro Hit, der aus der Suchfunktion ausgeloest
> > wird. Das koennte eine Cashcow fuer Verisign werden</Geruecht>
> 
> Ich glaube nicht, daß das DFN-CERT was bezahlt hat, aber sie tauchten
> dort unter "DFN-CERT" auf. Aber die Suchfunktion ist eigenwillig. Sehr

Das kann auch nur bedeuten, daß keiner dafür bezahlt hat bei der Suche nach
DFN-CERT über der eigentlichen Seite zu erscheinen. DFN-CERT dürfte auch
nicht das typische Wort sein, auf das Marketingdroiden scharf sind. 

Bei "ficken" oder "mp3" koennte das schon ganz anders aussehen.

> > 6. Wieviel Traffic verursacht Verisign eigentlich damit, dass es
> > nicht mehr ein einfaches NXDOMAIN zurückgibt, sondern jedes mal die
> > Seite durchbläst?
> Da muß ich Verisign als Root-Server- und TLD-Betreiber in Schutz
> nehmen. Der zusätzliche Verkehr dürfte im Vergleich zu dem, was durch
> den Windows-DNS-Bug verursacht wird, kaum ins gewicht fallen.

Das war eben die Frage. Ich kann das überhaupt nicht einschätzen. Hat dazu
irgendjemand wirkliche Daten?

Nils

-- 
> What's the title for the head of the Greek Orthodox church?

God
                          [Rowan Mayfair <rowanm@xxxxxxxxxxxx>]

-- 
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx