rbldnsでブラックリストを運用

rbldns

rbldnsはD.J.Bernstainのdjbdnsに含まれるブラックリストなどのIPリスティング用dnsサーバです。udpでのAとTXTレコード、ANYの問いあわせに答えます。

ブラックリストを公開しないまでも、rbldnsを動かしておくことで、複数のMTAで一括してサイトの拒否ネットワークの設定が行なうことができ、整合性も保てるので、メンテナンスが楽になります。また、tinydnsで同様の設定を行なった場合よりcdbが小さくなり、lookupも高速です。

rbldnsの設定を行う

rbldns-conf rbldns rbllog /etc/rbldns 202.212.33.50 blacklist.example.com
データファイルを作り、起動する

dataの例(自分の管理下のMTAで使っているものです)
上位DNSからrbldnsを動かすホストにブラックリストのドメインを委譲する

上位DNSで:
&blacklist.example.com::a.example.com
MTAの設定を修正

rblsmtpdなら:
-r blacklist.example.com を追加

レコードごとに異なる返答をすることはできません。
rbldns.cより該当部分

/* キー"" (=":"で始まる行)をサーチ */
r = cdb_find(&c,"",0);
/* read error ? */
if (r == -1) return 0;
/* 見つかった && 中身あり */
if (r && ((dlen = cdb_datalen(&c)) >= 4)) {
  /* 長すぎたら切りつめ */
  if (dlen > 100) dlen = 100;
  /* 読みこんでread errorチェック */
  if (cdb_read(&c,data,dlen,cdb_datapos(&c)) == -1) return 0;
}
else {
dlen = 12;
byte_copy(data,dlen,"\177\0\0\2Listed $");
}
SOA,NSに返答しません (^^;)
タイムアウトしてしまいます。
glueレコードを付けません。

AやTXTの返答に付加レコードを付けません。nxdomainの応答にも、SOAを付加しないので、相手のネガティブキャッシュを期待できません。これは、ちょっと痛い点です。

これらは、bind/rbldns/tinydnsのフィンガープリントに使えそうです。

INDEX

Last modified: Sun Jul 7 23:59:06 2002