1. 逆引き検査の問題点
DNS/逆引き検査は DNS に負荷となります。
- メイル送信するドメインのDNSサーバはその負荷に耐えなければなりません。
IP アドレスをホスト名に変換するためのDNS/逆引き設定作業はかなり複雑です。
- 逆引きを設定できない DNS 管理者が多数存在します。
- このため paranoid チェックはおすすめしません。
- 逆引き設定されていないメイル送信サーバも多数あります。
- 逆引きは『自称』に過ぎませんので、信用するのは危険です。
- 接続を『承認する』ために逆引きを使うのなら paranoid 検査しましょう。
- 逆引きは偽情報で待ち受けている DNS サーバに誘導される可能性があります。
- DNS キャッシュサーバに毒盛りされる危険があります。
- DNS そのものの安定運用がむずかしいという理由もあります。 逆引きサーバにトラブルが起きているとか、ネットワークのトラブルだったりして、 逆引きできないことはよくあります。
- 逆引きできないことを『接続拒否』に使ってはいけません。
[http://www.zvon.org/tmRFC/RFC2505/Output/index.html RFC 2505]] 1.4. 節では、 DNS の負荷、DoS 攻撃に加担する危険、DoS 攻撃される危険性などに 触れられています。
1.1. paranoid 検査をやめた理由
逆引きで得られた名前の A レコード(IP アドレス)を検索して、 もとの IP アドレスとつきあわせるのが paranoid 検査です。
逆引きが設定されている IP アドレスの多く (80 %以上)が 順引きもちゃんと設定されていて、parnoid 検査にパスしました。
順引きにより増えるネットワーク負荷にみあう spam排除効果が期待できないこと、 逆引きが嘘である場合、第三者の DNS サーバに負荷をかけること、などの理由で paranoid 検査は行わないことにしました。 ([wiki:SpamJp:paranoid.html 過去の経緯]])
逆引きでさえ正しく設定されていないものが多い現状では 「パラノイド設定を要求することはより困難な DNS 設定を要求する」 からという理由もあります。