Notícia publicada por brain em setembro 17, 2003 12:19 PM
| TrackBack
Daniel Lafraia (lafraia@iron.com.br) disse: "Vejam só. Pra quem tinha regra nos servidores de e-mail para nao aceitar mensagens de domínios inexistentes: já era! :( A Verisign agora está redirecionando para os servidores dela todo o trafego de .net e .com inexistentes. E o pior, estão capturando e-mails
O Daniel Lafraia mandou um log demonstrando o que ele quer dizer (veja em DETALHES). Ele não analisou por este lado, mas o objetivo da Verisign é claro e assumido: mostrar páginas de propaganda de seus serviços para todo mundo que tenta acessar [veja os detalhes]. Será que eles não pararam para pensar que isto afeta a infra-estrutura da Internet? Não sei, mas o ISC (responsável pelo software Bind, o software usado em 80% dos servidores de DNS do mundo) resolveu nem esperar pela resposta: vai lançar uma atualização do BIND que impede a atrocidade da Verisign. Ainda bem que podemos contar com Paul Vixie e seus camaradas ;-)
Segue o log do Lafraia:
] set type=any
] askldjalsjdalksjdaks.net
Server: x.x.x.x
Address: x.x.x.x#53
Name: askldjalsjdalksjdaks.net
Address: 64.94.110.11
> alksdjlkasjd.com
Server: x.x.x.x
Address: x.x.x.x#53
Name: alksdjlkasjd.com
Address: 64.94.110.11
$ telnet 64.94.110.11 25
Trying 64.94.110.11...
Connected to 64.94.110.11.
Escape character is '^]'.
220 snubby4-wceast Snubby Mail Rejector Daemon v1.3 ready
mail from: blah@blah.com
250 OK
rcpt to: blih@blih.com
250 OK
data
550 User domain does not exist.
quit
221 snubby4-wceast Snubby Mail Rejector Daemon v1.3 closing
transmission channel
221 snubby4-wceast Snubby Mail Rejector Daemon v1.3 closing
Comecei bem a noticia , consegui entender bem o Daniel
Lafraia, Mas confesso não consegui compreender o problema, nem o que isto representa para mim, nem tão pouco see o Que é Verisign, não seria Varig ?
Significa que a responsável pelo registro dos domínios com terminação .com e .net resolveu desviar para ela todo o tráfego direcionado a domínios inexistentes ou escritos de forma errada.
Assim, se você tentar mandar e-mail para seu amigo, e escrever errado o e-mail dele, corre o risco de não receber uma mensagem de erro alertando. Pior ainda, o e-mail pode vir a ser entregue para outra pessoa.
E se você tenta ir em um website e digita errada a URL, não mais receberá uma mensagem de erro indicando que o domínio não existe - ao contrário, será redirecionado para uma página da verisign, sem nenhum alerta de que digitou o domínio errado.
Comentando o log:
#### Nas linha abaixo ele usa um programa
#### para realizar consultas dns.
#### Existem vários programs que fazem
#### isso como nslookup e dig.
#### A consulta deve retornar registro do tipo
#### "any" ou seja todos.
] set type=any
#### Determina o nome consultado
#### (evidentemente este nome não existe).
] askldjalsjdalksjdaks.net
#### A baixo aparece o resultado da consulta dns.
#### Nome do servidor dns consultado.
Server: x.x.x.x
#### Endereço IP e porta do servidor dns.
Address: x.x.x.x#53
#### Nome consultado
Name: askldjalsjdalksjdaks.net
#### Endereço IP do nome consultado.
Address: 64.94.110.11
#### Agora realiza outra consulta
#### agora para o nome alksdjlkasjd.com.
> alksdjlkasjd.com
#### Resultado da consulta.
Server: x.x.x.x
Address: x.x.x.x#53
Name: alksdjlkasjd.com
Address: 64.94.110.11
#### Agora usa o comando telnet para
#### conectar na porta 25 do servidor
#### consultado acima. A porta 25 é do
#### serviço SMTP, ou seja correio eletrônico.
$ telnet 64.94.110.11 25
Trying 64.94.110.11...
Connected to 64.94.110.11.
Escape character is '^]'.
#### Abaixo a conexão se estabelece.
220 snubby4-wceast Snubby Mail Rejector Daemon v1.3 ready
#### Entra com o remetente.
mail from: blah@blah.com
250 OK
#### Entra com o destinatário.
rcpt to: blih@blih.com
250 OK
#### O comando "data" indica que vai começar a enviar a mesagem.
data
550 User domain does not exist.
#### Fecha a conexão
quit
221 snubby4-wceast Snubby Mail Rejector Daemon v1.3 closing
transmission channel
221 snubby4-wceast Snubby Mail Rejector Daemon v1.3 closing
Uma boa oportunidade para muitos sites de brasileiros adotarem o .br.
Pode ser excesso de paranóia minha, mas quem garante que os endereços de origem dos e-mails destinados a hosts inexistentes não serão armazenados e usados para propósitos obscuros?
PS. Eu não falei em spam, mas já que vocês pensaram nisso... :)
Ninguém garante :)
É lamentavel que uma empresa do porte Verisign faça uma coisa dessas sem uma analise de impacto ou, caso tenha feito, sem perceber que os prós para ela seriam menores que os contras para o resto do mundo.
Uma empresa que tem como responsabilidade gerenciar algo como um serviço de dominio de internet de primeiro nivel, deveria ser mais responsável em suas atitudes.
Vamos esperar para ver por quanto tempo esta atrocidade irá continuar.
Pelo menos por enquanto parece que eles não estão recebendo emails de terceiros - o que seria um grande absurdo - mas nada impede que eles façam isso de forma que não seja facilmente percebida, pois eles redirecionaram para eles todo o tráfego de email endereçado a destinatários inexistentes ou escritos de forma incorreta.
Não posso imaginar que serventia tem receber estas conexões - e olha que tenho imaginação boa - a não ser para algum motivo obscuro.
A Verisign efetivamente matou o sistema de email, facilitou a vida dos spammers, inviabilizou o troubleshooting de rede... em troca de quê? Criar um gigantesco espaço publicitário para faturar enquanto a internet é dominada pelos spammers?
Em outros tempos, certamente já estariam utilizando a duríssima Lei Antitruste dos EUA contra eles, porque se isto não é abuso do poder monopólico não sei mais o que é abuso de poder. Mas com Bushinho por lá?
Atitudes como esta me fazem lembra de Machado de Assis.
"A merda é inevitável."
tem uma petição on-line para protestar contra esses f.da p. :
http://www.petitiononline.com/icanndns/petition.html
Ola Pessoal,
Como todos já devem saber a ISC já lançou versões novas da série 9.x que corrige essa "loucura" da verisign.
http://www.isc.org/products/BIND/delegation-only.html
Para quem não sabe também, outros responsáveis por registros já fazem isso:
.cc 206.253.214.102
.sh 194.205.62.62
.cx 219.88.106.80
.td 146.101.245.154
.tm 194.205.62.42
.mp 202.128.12.163
.ws 216.35.187.246
.ph 203.119.4.6
.museum 195.7.77.20
Nessa página tem metodos para contornar isso no BIND/DJBDNS/Sendmail/Exim:
http://www.imperialviolet.org/dnsfix.html
Para os amantes do Postfix o Wietse já fez o fix também:
http://groups.google.com/groups?dq=&hl=pt&lr=&ie=UTF-8&selm=bk8e7e%242slv%241%40FreeBSD.csie.NCTU.edu.tw&rnum=1
Abraços
Muitos usuarios de ADSL , incluindo eu mesmo, da BrasilTelecom passam por algo que acredito seja o mesmo caso. Se procurar um dominio inesistente, automaticamente é rediricionado para um site com nitido proposito comercia e publicitario. Até a alguns dias era um site de turismo da argentina.
Até imagnei que fosse alguma alteração no navegador mas não é. Isso já parece SPAM de WEB.
Revoltante o que a Verisign está fazendo...
A melhor saída é aplicarmos os pathes do bind. Ele permite bloquear sites de forma bastante simples.
A propósito: se esta companhia está realizando uma prática tão abusiva com domínios inexistentes, imagine o que ela poderia vir a fazer com domínios existentes? Ela poderia, por exemplo, fazer proxies para certos domínios, de forma a monitorar seu tráfego, tornando todo acesso a domínios .com e .net insegura!
Eu conheço o tal do Dudu, ele é minha amigona, não se meta com ele ou vou te bater
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.