[GTER] Dificuldade em gerência da porta 25

Henrique de Moraes Holschuh henrique.holschuh at ima.sp.gov.br
Tue Dec 15 13:36:18 -02 2009 

João Paulo Just wrote:
> A dificuldade não é técnica, o problema é: bloqueei a saída pela porta 25, mas 
> muitos clientes usam e-mails corporativos que só recebem conexões SMTP pela 
> porta 25, tem até agência dos Correios nessa situação.

A ideia da gerência de porta 25 é:

1. Usuário nunca sai *DIRETAMENTE* pela porta 25, somente MTAs 
autorizados podem usar a porta 25 para cruzar a borda;

2. Um MSA estará disponível para os usuários cruzarem a borda, através 
da porta 587, 465, e inclusive a porta 25.  É importante lembrar que MSA 
obrigatoriamente deve rejeitar qualquer tentativa de envio antes da 
autenticação, não importa em que porta esteja escutando.

No MSA, você coloca anti-vírus (acaba sendo o IPS para email), e impõe 
limites (rate limits) de acordo com o tipo de usuário.  Os limites podem 
até ser absurdamente altos, eles existem para evitar alguns ataques e 
para ajudar em caso de spam-runs de bots defeituosos.

Usuários corporativos, em geral, devem ser questionados se precisam da 
porta 25 aberta, e caso positivo, devem ser orientados a implementar a 
gerência de porta 25 em suas redes.  Dependendo da sua política de 
serviço, devem inclusive fornecer os IPs dos seus MTAs para que apenas 
esses IPs possam fazer conexões saintes pela porta 25.

Usuários de hosting e colocation devem ser severamente desencorajados a 
pedirem a liberação da porta 25 (exceto se forem provedores de email, é 
claro).  Devem ser orientados a utilizar MSAs providos por você.
É bom lembrar que qualquer MTA que preste pode ser configurado para 
encaminhar mensagens para um MSA smarthost, inclusive autenticando-se.

Mesmo com todos estes cuidados, terão problemas os usuários que precisam 
enviar email por algum servidor específico (tipicamente devido ao uso de 
SPF restrito), quando este servidor não implementar um MSA na porta 587 
ou 465.

Aí, se quiser manter a gerência e não tiver como resolver o problema do 
usuário de outra forma, só tem um jeito: obrigar o uso de IP estático 
para estes usuários de forma a poder colocar exceções na firewall e 
liberar o acesso dos mesmos pela porta 25 para os destinos estritamente 
necessários.

> Infelizmente, pra que a gerência da porta 25 funcione aqui no Brasil, temos 
> que conscientizar primeiro as empresas de hosting de e-mails e os admins das 
> empresas que rodam seus próprios servidores de e-mails.

Sim, uma campanha de conscientização técnica é necessária.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.

More information about the gter mailing list