Файл зоны DNS, который сообщает рекурсивным резолверам, как обрабатывать запросы для определённых доменов — блокировать их, отправлять в чёрную дыру или перенаправлять их. RPZ позволяет операторам сети применять DNS-политику без прикосновения к авторитетным nameservers.
На практике: твой ISP, корпоративная сеть или государство используют RPZ для перехвата запросов доменов, которые они хотят подавить. Резолвер проверяет RPZ перед ответом. Совпадение найдено? Вернуть ответ политики (обычно 0.0.0.0 или IP чёрной дыры). Совпадения нет? Продолжить обычное разрешение.
Почему это важно: RPZ — инфраструктура, лежащая в основе DNS-цензуры, блокировки вредоноса и принудительного удаления доменов по авторским правам. Для конечных пользователей они невидимы, но не для тех, кто следит за трафиком. Рекурсивный резолвер под твоим контролем полностью обходит политики RPZ. Некоторые реестры и хостинг-провайдеры используют механизмы похожие на RPZ, чтобы превентивно отправить в чёрную дыру домены, отмеченные за нарушения — без судебного приказа, без прозрачности.
Связано с DNS-брандмауэрами, sinkholes и более широкой игрой в кошки-мышки между цензорами и обходчиками. RPZ описаны в RFC 8112. Технически нейтральны; политически нагружены.