L.ROOT-SERVERS.NET has changed IP address

L.ROOT-SERVERS.NET has changed IP address to 199.7.83.42. A fellow DNSmaster suggested that I should put it up here. Mark Andrews of ISC posted:

	If you already have a root hints zone defined in named.conf
	you need to update the address in the file it loads from.

	The easiest way to create a new file is to run dig, check
	the contents of the file it generates then move the file
	into place.

		dig ns . @a.root-servers.net > newfile

	If you don't have any root zone defined they you will be
	using the built-in hints.  In this case you should create
	a root hints zone if you don't have a root zone already
	defined and you are using class IN (the default class).

		dig ns . @a.root-servers.net > root-hints

		zone "." {
			type hint;
			file "root-hints";
		};

	If you are not using views you do this at the options level.
	If you are using views you need to define this zone in
	each view of class IN.

	BIND 9.3.5, BIND 9.4.2 (9.4.2rc2) and BIND 9.5.0 (9.5.0a7) will
	have their built-in root hints updated to reflect this change.

	If you wish to change the built in hints apply the attached
	patch.  In the top level directory run.

		patch -p1 < l-root-servers.patch
		make clean
		make

	Mark
-- 
Mark Andrews, ISC
1 Seymour St., Dundas Valley, NSW 2117, Australia
PHONE:	+61 2 9871 4742		         INTERNET: Mark_Andr...@isc.org

[via comp.protocols.dns.bind]

milter-dnsbl

Sendmail administrators using FEATURE(dnsbl) may have noticed that ruleset check_rcpt is executed after all connected milters have executed the corresponding xxfi_*() routines.

Wouldn’t it be better if a milter (in fact the first in order) could block a connection based on a list of DNSBLs?

That is why I wrote my first milter, milter-dnsbl (download). milter-dnsbl has no configuration file; on startup it takes a number of arguments that allow you to specify a number of DNSBLs, plus whitelists published via DNS, or based on the domain name of the connecting host. It requires a running lwresd(8) which it uses as a caching server. Read the manpage that comes with the source code distribution.

milter-dnsbl is distributed with an OpenBSD-style license and has been tested on an Ubuntu 6.06 i386 server.

ΕΕΤΤ και DNS

Διάβαζα την Έκθεση Πεπραγμένων της ΕΕΤΤ για το 2006 και το μάτι μου έπιασε μια περίεργη φράση:

“[Η ΕΕΤΤ] ρυθμίζει τα θέματα Ονομάτων Δικτυακών Τόπων με κατάληξη [.gr] καθώς και οποιουδήποτε άλλου χώρου ή υποχώρου χορηγηθεί στην Ελλάδα.”

Διαβάζω καλά; Από ότι φαίνεται ναι:

Ν.3431/2006 “Περί Ηλεκτρονικών Επικοινωνιών και άλλες διατάξεις” Άρθρο 12 (Αρμοδιότητες της Ε.Ε.Τ.Τ.):

“κδ) Ρυθμίζει τα θέματα ονομάτων χώρου στο Διαδίκτυο με κατάληξη “.gr”, καθώς και οποιουδήποτε άλλου χώρου ή υποχώρου χορηγηθεί στην Ελλάδα.

Τι ακριβώς σημαίνει η παραπάνω πρόταση; Πως εάν π.χ. χορηγηθεί στο Κράτος Ελλάδα και η κατάλληξη ονομάτων [.hellas] η ΕΕΤΤ θα είναι η ρυθμιστική αρχή; Ή μήπως πως για ονόματα που έχουν εκχωρηθεί και στεγάζονται σε DNS servers που βρίσκονται γεωγραφικά στον Ελληνικό χώρο (και ανεξάρτητα από την κατάληξη) ρυθμιστική αρχή είναι η ΕΕΤΤ;

Μπορεί να προσφύγει κάποιος στην ΕΕΤΤ επειδή θα έχω σε λειτουργία (ότι κι αν σημαίνει αυτό) το όνομα χώρου mitsos.postmaster.gr επειδή θεωρεί πως είναι ο θιγόμενος mitsos; Ακόμα χειρότερα μπορεί να κάνει το ίδιο γιατί έχω σε λειτουργία το όνομα mitsos.dblabs.com;

Τι σημαίνει η παραπάνω πρόταση στο νόμο για τα [.GR.EU.ORG] και [.CY.EU.ORG];

“Εκδίδει Κανονισμό με τον οποίο ρυθμίζεται κάθε θέμα το οποίο αφορά την εκχώρηση των ονομάτων χώρου στο Διαδικτυο με κατάληξη “.gr”, τους όρους χρήσης τους, τους λόγους διαγραφής, τους όρους μεταβίβασης, την τήρηση του μητρώου εκχωρούμενων ονομάτων χώρου τα τέλη για την παροχή των σχετικών υπηρεσιών, την ασκηση εποπτείας για τη χρήση και κάθε άλλο θέμα το οποίο αφορά στη λειτουργία και χρήση των ονομάτων χώρου στο Διαδίκτυο με κατάληξη “.gr” Τα ανωτέρω ονόματα χώρου αποτελούν πόρους του Ελληνικού Κράτους, οι οποίοι εκχωρούνται αποκλειστικά από την Ε.Ε.Τ.Τ., μόνο κατά χρήση. Το μητρώο δεδομένων, που περιέχει κάθε σχετική πληροφορία τηρείται στην Ε.Ε.Τ.Τ.. Η Ε.Ε.Τ.Τ. έχει τη δυνατότητα, με διαγωνισμό, για περιορισμένο χρόνο, ο οποίος σε κάθε περίπτωση, δεν υπερβαίνει την πενταετία, να αναθέτει την τήρηση του Μητρώου σε άλλο πρόσωπο, το οποίο όμως θα ενεργεί στο όνομα και για λογαριασμό της Ε.Ε.Τ.Τ..”

και συνεχίζει με το:

“κε) Η Ε.Ε.Τ.Τ. είναι ο αρμόδιος φορέας για θέματα ονομάτων χώρου στο Διαδίκτυο, με κατάληξη “.eu”.”

Χωρίς παραπάνω ανάπτυξη. Δηλαδή; Εάν κάποιος έχει πρόβλημα με ένα [.eu] domain θα πρέπει να προσφύγει στην ΕΕΤΤ και όχι στο δικαστήριο διαιτησίας (με έδρα την Πράγα) που όρισε το EURid στις 12 Απριλίου του 2005 και σύμφωνα με την Οδηγία 874/2004;

(Και τώρα που ο Dunga σήκωσε το Copa America μπορώ να κλείσω το ραδιόφωνο και να πάω για ύπνο)

Στοχευμένο spam μεν, λανθασμένη επιλογή στόχου δε

Αναρωτιέμαι πόσο πετυχημένη κίνηση είναι να στέλνει κάποιος καταχωρητής ονομάτων για το [.GR] αζήτητη διαφημιστική αλληλογραφία (για υπηρεσίες καταχώρησης στο [.GR] domain) στις διευθύνσεις hostmaster@ και postmaster@ ενός άλλου καταχωρητή του [.GR].

[ On a related episode, το pathos.gr σήμερα έστειλε αζήτητη διαφημιστική αλληλογραφία, σε όλες τις διευθύνσεις μου στο ΕΜΠ. ]

Το Internet όπως το μάθαμε

sendmail X ήταν ο τίτλος της προσπάθειας του Claus Assmann για την επόμενη (και ριζικά διαφορετική) έκδοση του sendmail. Για λόγους που δεν μου είναι γνωστοί ακόμα, το project μετονομάστηκε σε MeTA1. Αυτό είχε σαν αποτέλεσμα το domain name sendmailx.org να μην είναι πια χρήσιμο για το project. Το domain θα έληγε στις 2007-05-03. Ζήτησα να μου το κάνουν transfer με την προϋπόθεση πως δεν θα το κάνω “abuse” και η μεταφορά έγινε χωρίς πολλές διαδικασίες.

Ούτε πώληση του domain γιατί είναι ένα catchy όνομα, ούτε άρνηση για το φόβο του cybersquatting, ούτε τίποτε. Απλά πράγματα:

– Παιδιά το δίνετε αφού δεν το χρειάζεστε;
– Ναι

Πιο πολύ κράτησε η γραφειοκρατική διαδικασία της αλλαγής καταχωρητή και ιδιοκτήτη του domain, παρά το να συμφωνήσουμε τη μεταφορά του.

This is so 1990 (και πιο πίσω).

(Ο τίτλος είναι φράση φίλου postmaster σε πολύ μεγάλο ISP, σε προσωπική επικοινωνία για άλλο θέμα, αλλά θεώρησα πως ήταν ταιριαστός για την περίπτωση.)

DNS resources

Τα πιο εύχρηστα online resources για το DNS που έχω βρει:

Τα ευαγγέλια:

RFC1034
RFC1035 (HTML version)

Η επίθεση της 6ης Φεβρουαρίου στους root nameservers

Η επίθεση της 6ης Φεβρουαρίου στους root nameservers όπως αναλύεται^* από τον David Knight του ISC.

[via bind-announce]

[*] – PDF document

OpenDNS for your network

OpenDNS is an effort that aims to help users avoid phising attempts. It is a free to use service and extremely helpful for the home user. It is very easy to use. If you know how to configure your settings, you simply use the following two DNS servers (instead of the normal ones that your ISP tells you to use):

208.67.222.222
208.67.220.220

Alternatively you can go to their “Get Started“ page and continue from there. But what if you want to offer OpenDNS as a service for your users? Their FAQ has a simple answer: You can use the forwarders option in the named.conf^* of your DNS servers:

options {
:
  forward first;
  forwarders {
    208.67.222.222;
    208.67.222.220;
  };
:
};

This is fine if you want to switch everybody to use OpenDNS. However if you want to offer the service as an alternative for your users, you need to have a separate instanse of named running (maybe on a different machine), because simply using the above forwarding technique will result in having your cache server ask OpenDNS‘ servers even for your own domains. To avoid this traffic, you must include in its named.conf a forwarding⁺ clause for each of your local domains.

OpenDNS is not a panacea, nor a DNS replacement. IMHO, it is an excellent tool to use when web browsing. Should you decide to implement it, it is best that you offer it to your users via a (separate) caching server. But at the same time it is vital that you remember that there are valid reasons not to use it. However, as Paul Vixie writes:

“that having been said, if typosquatting is going to be done, opendns is the best way to do it among the ways i’ve seen. kudos to davidu and his team for the quality of their implementation and the openness of their launch.”

Further reading: Wikipedia article on OpenDNS.

[*] – I have a strong preference for BIND. However if you study the OpenDNS FAQ you will see that it works well with other DNS software too.
[+] – Some may opt to keep secondaries instead of forwarding.

re: Μποοου!!!!!(3)

Ήθελα να αφήσω comment στο Μποοου!!!!!(3). Βασικά ήθελα να γράψω για το Safenet. Τι είναι (ήταν) το Safenet; Μας δείχνει το web.archive.org εδώ:

http://web.archive.org/web/20050303201750/http://www.safenet.gr/

Ήταν το “ελληνικό όργανο αυτορρύθμισης για το περιεχόμενο του internet”. Ιδού και το καταστατικό. Τι είναι αυτή τη στιγμή; Ροζ site :)

Update: Ο φίλος Vlahos υπέδειξε την νέα τοποθεσία: http://www.saferinternet.gr/ . Το εντυπωσιακό που αποκαλύπτει το Internet Archive είναι πως αυτό το site άρχισε τη λειτουργία του λίγο πριν την παύση του προηγούμενου.

grwhitelist.tee.gr

Αυτοί οι Ολλανδοί ISP είναι ωραίοι τύποι. Όχι μόνο έχουν φτιάξει μια ωραία DNSBL για να κόβουν μηχανές μολυσμένες με ιούς, αλλά έχουν φτιάξει και μια ακόμα καλύτερη whitelist για να διευκολύνουν την επικοινωνία ανάμεσα στους servers τους. Είναι η NL-whitelist.

Με την υποστήριξη του εργοδότη μου κατάφερα να υλοποιήσω μια αντίστοιχη λίστα η οποία είναι προσβάσιμη σαν grwhitelist.tee.gr. Έτσι μπορεί κάποιος να έχει υλοποιήσει φίλτρα για το antispam / antivirus control του που να χρησιμοποιούν είτε greylisting, είτε κάποια DNSBL και ταυτόχρονα να μην επιβαρύνει τους χρήστες του με καθυστέρηση του εισερχόμενου ηλεκτρονικού ταχυδρομείου από αποστολείς που χρησιμοποιούν Ελληνικούς ISP. Η χρήση της είναι αποδοτική γιατί η πλειονότητα των χρηστών ενός Ελληνικού ISP θα στείλει email σε άλλο Ελληνικό site. Παρόλο που το Ελληνικό (και το από “ελληνικά” IP εκκινώμενο) spam γνωρίζει σημαντική άνθηση, παρατηρώ πως χρησιμοποιώντας την grwhitelist.tee.gr σαν εξαίρεση από το greylisting[*] δεν υπάρχουν παράπονα για καθυστέρηση στην παράδοση του ηλεκτρονικού ταχυδρομείου σε συνδιασμό με ελάχιστα αυξημένο αριθμό false positives.

Ακόμα χειρότερα σκεφτείτε να μπει (παλαιότερα έχει συμβεί) κάποιος ISP με 100+Κ χρήστες σε μια DNSBL (π.χ. bl.spamcop.net, dsbl, spews, κοκ) και να μη μπορεί να στείλει τα email των χρηστών του σε άλλο αντίστοιχου μεγέθους Ελληνικό ISP που χρησιμοποιεί τη συγκεκριμένη DNSBL. Τουλάχιστον με την ύπαρξη και χρήση ενός nation-wide whitelist μπορεί να εξασφαλίσει την επικοινωνία μεταξύ των εγχώριων ISP (ακόμα και για το χρονικό διάστημα που θα απαιτηθεί για να γίνει το delisting). Φυσικά και υπάρχουν τρόποι να γίνει αυτό και “on a peer to peer basis”, YMMV.

Για την ώρα η grwhitelist.tee.gr περιέχει τους outgoing SMTP servers των μεγαλύτερων Ελληνικών ISP και μερικών Πανεπιστημίων.

[*] Χρησιμοποιώ το graymilter του Jeff Poskanzer από το http://www.acme.com/ . Είναι τόσο καλογραμμένο που το να γράψεις και να συντηρήσεις patch είναι πολύ εύκολο. Περισσότερα σε επόμενο post.