Re: Verisign SiteFind

To: debate@xxxxxxxxxxxxxx
Subject: Re: Verisign SiteFind
From: Florian Weimer <fw@xxxxxxxxxxxxx>
Date: Tue, 16 Sep 2003 21:58:10 +0200
In-reply-to: <20030916214703.A15897@bug> (Nils Ketelsen's message of "Tue, 16 Sep 2003 21:47:03 +0200")
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mail-followup-to: debate@xxxxxxxxxxxxxx
Mailing-list: contact debate-help@xxxxxxxxxxxxxx; run by ezmlm
References: <slrnbmdh3m.nt.lutz@xxxxxxxxxxxxxxxxxxx> <877k49gn8y.fsf@xxxxxxxxxxxxx> <slrnbme7t8.31d.lutz@xxxxxxxxxxxxxxxxxxx> <87ad9493g9.fsf@xxxxxxxxxxxxx> <20030916204623.A15620@bug> <87znh44jx0.fsf@xxxxxxxxxxxxx> <20030916214703.A15897@bug>
User-agent: Gnus/5.1003 (Gnus v5.10.3) Emacs/21.3 (gnu/linux)

Nils Ketelsen <nils@xxxxxxxxxxxxxxxxxxxxxxxxx> writes:

>> Ich mache ganz gute Erfahrungen mit Callout-Prüfung. Das funktioniert
>> bei Exim, wenn man besagte IP-Adresse mit ignore_target_hosts erdet.
>
> Callout-Prüfung heisst, er guckt nicht nur, ob der host existiert, sondern
> auch, ob der LowestMX (oder in Ermengelung dessen der A) mails für den
> Absender annehmen würde?

Ja, genau. Und dabei wird zweckmäßigerweise der SMTP-Router des MTAs
verwendet -- und wenn dieser den A-Record ignoriert, sind wir auf der
sicheren Seite.

> Oder einfach nur einige Webseiten mit (zusammen) hundert Millionen Links
> auf zufällige domainnamen verteilen. Und dann mal sehen, was google und co
> verisign so antun.

Interessant, aber dafür werden Google und Co.  sicherlich im Falle
eines Falles schnell einen Spezialfall einbauen.

>> > 3. Man kann spannende Statistiken machen und so Domainnamen später 
>> > Bewerten,
>> > die noch nicht vergeben sind (1$ pro Aufruf vor Vergabe, vielleicht?)
>> Man munkelt, daß sie das schon vorher machten. Technisch war das ja
>> möglich.

> Über Logs der DNS-Server meinst Du? Ja, das stimmt auch wieder.

Eher passives Mitschneiden. Nebeneffekte durch Logging würde ich dann
doch lieber vermeiden.

[*.net/*.com aus dem Mailverkehr ziehen]

> Dank wildcard DNS hat man also die Wahl zwischen erhängen und erschießen.
> Prima. 

Genau.

>> Es gibt keine allgemein funktionierende Möglichkeit zu signalisieren,
>> daß ein Host, unabhängig von irgendwelchen DNS-Einträgen, nicht am
>> Mail-Verkehr teilnimmt.
>
> Da wäre wohl das einzig mögliche nicht mehr an A-Records zuzustellen. Damit
> könnte ein host von vornherein deutlich machen, ob er mail will (dann hat er
> einen MX) oder nicht.

Nein, kann er nicht. Denk' an Dein eigenes Beispiel.

>> Da muß ich Verisign als Root-Server- und TLD-Betreiber in Schutz
>> nehmen. Der zusätzliche Verkehr dürfte im Vergleich zu dem, was durch
>> den Windows-DNS-Bug verursacht wird, kaum ins gewicht fallen.
>
> Das war eben die Frage. Ich kann das überhaupt nicht einschätzen. Hat dazu
> irgendjemand wirkliche Daten?

10% legitime Requests an der Wurzel an DoS-freien Tagen, IIRC.  Bei
der Reverse-Delegation von RIPE ist es wohl noch übler.

--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx

Follow-Ups:
- Re: Verisign SiteFind
  - From: Nils Ketelsen
- Re: Verisign SiteFind
  - From: Neko (Simone Demmel)

References:
- Re: Verisign SiteFind
  - From: Lutz Donnerhacke
- Re: Verisign SiteFind
  - From: Florian Weimer
- Re: Verisign SiteFind
  - From: Lutz Donnerhacke
- Re: Verisign SiteFind
  - From: Florian Weimer
- Re: Verisign SiteFind
  - From: Nils Ketelsen
- Re: Verisign SiteFind
  - From: Florian Weimer
- Re: Verisign SiteFind
  - From: Nils Ketelsen

Prev by Date: Re: Verisign SiteFind
Next by Date: Re: Verisign SiteFind
Previous by thread: Re: Verisign SiteFind
Next by thread: Re: Verisign SiteFind
Index(es):
- Date
- Thread