SPAM og DNS vandræði

Mikilvægi þess að vera ekki með opna SMTP gátt á netinu verður líkast til aldrei nógu vel auglýst, en það er líka mikilvægt að vera ekki með opinn DNS þjón eins og ég komst að í dag.

Það sem kom fyrir var að spammari skráði DNS þjón fyrir lénið sitt á IP töluna sem þessi þjónn er á. Svo fór hann að senda ruslpóst frá því léni.

Vegna þess hvernig DNS virkar þá gerist það að ruslpóstsíur fletta léninu upp, sjá að DNS þjónninn er X IP tala. Þá spyrja þær þessa IP tölu um lénið og ef það kemur svar (sem gerist) þá fer IP talan beint á svartan lista (sem var það sem mín gerði).

Lausnin við þessu er að slökkva á recursive uppflettingum. Þær ættu hvort eð er bara að vera til staðar fyrir undirnet, rétt eins og á SMTP þjónum.

Nú kunnið þið að spyrja hvort að það sé í raun ekki galli á DNS kerfinu, að vélar geti ekki svarað því hvort þær eru authorative vélar. Það virkar auðvitað ekki vegna þess að þá væri auðveldað að framkvæma yfirtökur á lénum.

Eina raunverulega leiðin til þess að vita hvort að vél er authorative er að fletta því upp í rótarlénaskráningu en hver sem er getur skráð nafnaþjón þar á hvaða IP tölu sem er.

Þetta er sérstaklega ógeðfellt helvíti fyrir okkur sem rekum netþjóna því að spammarar geta raunverulega breytt DNS skráningunni á léninu sínu daglega ef þeim sýnist. Þannig geta þeir ruslað til svartlistum og valdið okkur öllum endalausum óþægindum öðrum en bara ruslpósti.

Ég er reyndar harður á að þetta sé ekki bara eina góða heldur líka skemmtilegasta lausnin á ruslpóstvandamálinu!

Þetta er að sjálfsögðu allt komið í stakasta lag núna. Ég vil þakka BRE fyrir góð ráð og hjálp.