<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=ISO-8859-1"
 http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
I would like to see the proposal detail (or have Paul explain) how this
should interact with DNSSEC.<br>
<br>
Florian Weimer wrote:
<blockquote cite="mid:828w4fn384.fsf@mid.bfk.de" type="cite">
  <pre wrap="">* Hannes Frederic Sowa:

  </pre>
  <blockquote type="cite">
    <pre wrap="">I would like to propose adding a marker to dns-packets modified due to a
dns-rpz-policy. If I compare dns-rpz to (smtp-)dnsbl or rhsbl I have some
kind of transparency, in which who blocked what and most of the time,
who initiated the blocking (per smtp status messages).
    </pre>
  </blockquote>
  <pre wrap=""><!---->
I think this would be implicit if the reponse is DNSSEC-signed.  To
achieve this, the RPZ zone needs to be signed as a root zone, and the
records need to be copied in a replacement answer.  The key tag in the
RRSIG records, combined with the signatures themselves, would then
provide sufficient information to attribute the replacement to a
particular RPZ provider.

  </pre>
</blockquote>
</body>
</html>