Blog du grouik

Dans son article Utiliser un résolveur DNS public ? Stéphane Bortzmeyer explique les avantages et inconvénients (confidentialité et fiabilité technique) des différentes configurations:

• Utiliser un résolveur public,
• Utiliser un résolveur privé (dans le lan), faisant ses requêtes directement vers les serveurs racines,
• Un resolveur privé s'appuyant sur un résolveur public implémentant le DNS sur TLS ,
• etc... Lisez son article (et les autres) c'est intéressant.

Je suggère comme autre alternative ^[1] d'avoir son propre resolveur qui répond aux spécifications suivantes:

_ Il (le résolveur DNS) accepte les requêtes DNS sur TLS s'il est en dehors du LAN domestique,

_ Il s'adresse directement aux serveurs racines afin d'éviter les problématiques de résolveurs intermédiaires menteurs,

_ Partager ce résolveur avec un service qui fait énormément de requêtes DNS (afin de noyer les votres dans la masse pour gêner celui qui chercherait à écouter vos flux DNS): Il suffit d'un serveur de messagerie, subissant une quantité normale de tentatives de spams (95% des mails), et prenant le temps pour chaque message reçu:

• De vérifier les enregistrements SPF et DKIM du domaine expéditeur,
• puis les MX,
• Enfin, quelques requêtes (DNS) vers des services de blacklists.

De cette manière on pourrait trouver une utilité indirecte aux spammeurs.