Nils Ketelsen <[EMAIL PROTECTED]> writes: >> Ich mache ganz gute Erfahrungen mit Callout-Prüfung. Das funktioniert >> bei Exim, wenn man besagte IP-Adresse mit ignore_target_hosts erdet. > > Callout-Prüfung heisst, er guckt nicht nur, ob der host existiert, sondern > auch, ob der LowestMX (oder in Ermengelung dessen der A) mails für den > Absender annehmen würde?
Ja, genau. Und dabei wird zweckmäßigerweise der SMTP-Router des MTAs verwendet -- und wenn dieser den A-Record ignoriert, sind wir auf der sicheren Seite. > Oder einfach nur einige Webseiten mit (zusammen) hundert Millionen Links > auf zufällige domainnamen verteilen. Und dann mal sehen, was google und co > verisign so antun. Interessant, aber dafür werden Google und Co. sicherlich im Falle eines Falles schnell einen Spezialfall einbauen. >> > 3. Man kann spannende Statistiken machen und so Domainnamen später Bewerten, >> > die noch nicht vergeben sind (1$ pro Aufruf vor Vergabe, vielleicht?) >> Man munkelt, daß sie das schon vorher machten. Technisch war das ja >> möglich. > Über Logs der DNS-Server meinst Du? Ja, das stimmt auch wieder. Eher passives Mitschneiden. Nebeneffekte durch Logging würde ich dann doch lieber vermeiden. [*.net/*.com aus dem Mailverkehr ziehen] > Dank wildcard DNS hat man also die Wahl zwischen erhängen und erschießen. > Prima. Genau. >> Es gibt keine allgemein funktionierende Möglichkeit zu signalisieren, >> daß ein Host, unabhängig von irgendwelchen DNS-Einträgen, nicht am >> Mail-Verkehr teilnimmt. > > Da wäre wohl das einzig mögliche nicht mehr an A-Records zuzustellen. Damit > könnte ein host von vornherein deutlich machen, ob er mail will (dann hat er > einen MX) oder nicht. Nein, kann er nicht. Denk' an Dein eigenes Beispiel. >> Da muß ich Verisign als Root-Server- und TLD-Betreiber in Schutz >> nehmen. Der zusätzliche Verkehr dürfte im Vergleich zu dem, was durch >> den Windows-DNS-Bug verursacht wird, kaum ins gewicht fallen. > > Das war eben die Frage. Ich kann das überhaupt nicht einschätzen. Hat dazu > irgendjemand wirkliche Daten? 10% legitime Requests an der Wurzel an DoS-freien Tagen, IIRC. Bei der Reverse-Delegation von RIPE ist es wohl noch übler.