<font style="font-size:14px;font-family:sans-serif">
        <div><font style="font-family:sans-serif;font-size:14px"><font style="font-size:14px"><font style="font-family:sans-serif">Thank you Paul for taking the time and explaining in more details. I have learned few things tfrom you today.</font></font></font></div><div><font style="font-family:sans-serif;font-size:14px"><font style="font-size:14px"><font style="font-family:sans-serif">​Much appreciated.</font></font></font></div><div><font style="font-family:sans-serif">​</font></div><div><edo-signature id="9e78bd91-2ca2-4893-a89a-8c3c9ed5e8cf"><font style="font-size:14px;font-family:sans-serif"><div><div><font style="font-family:sans-serif">Mark</font></div></div></font></edo-signature><br></div><div class="gmail_quote_attribution">On Apr 11 2021, at 5:05 pm, Paul Vixie <paul@redbarn.org> wrote:</div><blockquote class="gmail_quote"><div><div>On Sun, Apr 11, 2021 at 03:28:54PM -0600, Mark Abram via Unbound-users wrote:</div><div>> What Paul has suggested works in unbound. But what I am not sure</div><div>> about why I need to specify any sort of TTL values</div><br><div>one of the most controversial parts of the RPZ design was the use of DNS</div><div>zone files to convey recursive server policy. this kind of overloading is</div><div>often a sign of ignorance or bad taste. for example, using "CNAME ." as a</div><div>way to signal that the owner name should trigger an artificial NXDOMAIN</div><div>response (without regard for the authoritative truth of that matter) is,</div><div>no matter how you look at it, pretty ugly.</div><br><div>we (the RPZ designers; vernon schryver and myself) had no use for TTL,</div><div>and so it doesn't matter to us what value you use. since the zone is</div><div>not going to be "served," the value makes no difference to Unbound (or</div><div>BIND, or Knot, or PowerDNS, all of which now support RPZ). so, letting</div><div>the TTL be the minimum (last of the five numbers in the SOA record) is</div><div>absolutely harmless and arguably the most correct.</div><br><div>> for a local rpz file I manage to ban permanently some bad hosts. I want</div><div>> indefinite TTL for banned hosts. Maybe I am not understanding it completely</div><div>> but with Pauls suggested header values it works and blocks my hosts.</div><br><div>TTL has no role in RPZ. but it must be present because RPZ uses DNS zones</div><div>to convey DNS recursion policy. so, use any value you please, because</div><div>nothing will see it except you when editing your "zone file".</div><br><div>we overloaded the DNS "zone" mechanism to carry recursive DNS policy because</div><div>it was a format that the servers already understood, and a relied on a set</div><div>of firewall rules that DNS operators already understood.</div><br><div>--</div><div>Paul Vixie</div></div></blockquote>
      </font>