[GTER] sobre spam: bloquear reverso inconsistente funciona mesmo?

Raphael Bittencourt S. Costa raphaelbscosta at gmail.com
Wed Aug 22 00:19:35 -03 2012 

Danton,

Acredito que esta questão seja melhor para a MASOCH...

Seguem algumas regras:

Helo
- Ser fqdn.
- Possuir o mesmo fqdn que o reverso.

IP
- Precisa ter reverso configurado corretamente.
- Verificação da blacklist local
- Rejeitar caso o reverso tenha palavras: dyn, cable, veloxzone, dsl, etc.
- O que vier de países spammers, definidos previamente: greylist.
- RBLs
- SPF

A blacklist local era alimentada por um script que lia os spams recebidos em
contas comuns, como andre at xxx.com.br, aline at xxxx.com.br, etc.

Essas regras descarvam 80%, aproximadamente 7 milhões de e-mails, dos spams
antes que eles entrassem na fila, economizando banda, processamento, storage
e memória.

Os 20% que entravam em fila passavam pelo filtro contextual que era treinado
pelos usuários.

[]s,

Raphael Costa



-----Original Message-----
From: gter [mailto:gter-bounces at eng.registro.br] On Behalf Of Danton Nunes
Sent: terça-feira, 21 de agosto de 2012 11:32
To: gter at eng.registro.br
Subject: [GTER] sobre spam: bloquear reverso inconsistente funciona mesmo?

Um hábito bastante comum em receptores de email (MX) para combate a spam é
exigir que o endereço IP do remetente tenha tradução reversa e que esta seja
consistente, isto é, recupere o endereço IP original quando traduzido
diretamente.

Sempre fui contra este procedimento, porque ele não tem fundamento em
normas, reverso não é obrigatório, embora altamente recomendável.

Para quantificar um pouco a questão, fiz uma estatística sobre algumas
mensagens classificadas como spam, tanto por classificadores automáticos
(spamassassin) quanto humanos, depois de sobreviver a outros filtros. 
Foram consideradas 948 endereços únicos de mais de 2mil mensagens.

A primeira constatação interessante é que apenas 68 endereços não tinham
reverso. Dos 880 que tinham reverso, 688 (78%) apresentavam tradução direta
consistente, isto é, o RRset da tradução ip -> nome -> ip continha o
endereço ip original. 184 (21%) falharam nesse teste, mas a tradução direta
resolvia para alguma coisa. Por último, somente em 8 casos (1%) a tradução
direta deu água (NXDOMAIN).

Resumindo, testar o reverso somente bloqueia cerca de 20% dos spams que não
foram bloqueados por outros critérios, no caso duas listas negras (spamcop e
spamhaus), greylist e spf. Ainda não tenho uma avaliação de quanto o
critério do reverso bloquearia de mensagens boas, levantamento que ainda vou
fazer, mas me parece que o benefício é muito pequeno para um procedimento
fora de norma e com alto risco de falso positivo.

-- Danton.
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list