[GTER] Spam

Thu Jan 16 18:21:01 -02 2003

On Thu, 16 Jan 2003, Renato Fernandes De Lima wrote:

> GTER,
>     Olá, pensei sobre um processo simples e gostaria de saber o que acham sobre o assunto:
> 
> 1) Todo o tráfego smtp/25 seria redirecionado para um "check smtp server"
> -)

sim, esse é o conceito que estou estudando.

> 2) O "check smtp server" faria um lookup do mx do domínio e o ip do
> servidor que estão mandando o e-mail

que domínio? do envelope? do cabeçalho 'From'? do IP não vai funcionar, visto
que muito poucos tem reverso.

> 3) O "check smtp server" verificaria em uma lista "oficial" de spammers
> para verificar se os servidores em questão já se encontram na lista

uma lista por dns, ok. mas veja bem, a idéia é matar os caras na saída do
provedor, não na entrada da vítima! os IPs do provedor podem ser móveis (DHCP)
e não ser possível estabelecer uma associação IP-pessoa muito facilmente.

> 4) Se não estiver na lista ele se conecta na porta smtp do ip e faz testes
> (que seriam atualizados) para verificar se o servidor é um open relay

o servidor de origem é um cliente de smtp. ele não tem obrigação alguma de
atender conexões tcp/25. não entendi bem esta passagem. ou se trata do
destinatário? há cadastro de relays abertos que poderiam ser utilizados,
dispensando um teste que pode ser demorado porque depende da fila no servidor
de destino. e-mail é um esquema de store'n'forward e não é instantâneo,
podendo levar dias para ser entregue.

> 5) Se o servidor fosse um "open relay" ou estivesse de alguma forma aberta
> para o spam o tráfego seria rejeitado. Adicionalmente o servidor seria
> acrescentado em uma lista "oficial" de spammers. Nas próximas checagens os
> testes não seriam mais necessários.

vide nota sobre os IPs móveis (DHCP).

> 7) Se o servidor não fosse um "open relay" o tráfego seria permitido. É
> guardado um cache com um "timeout" de valor X para não se refazer a
> checagem toda a hora

testar se um dado servidor é open relay é tarefa complicada porque há vários
casos de 'open relay' a serem considerados. há situações em que um servidor
sozinho não é open relay, mas em conjunto com um segundo, é. e não ter
respondido com mensagem de erro logo depois do RCPT não significa que é open
relay, porque a mensagem de erro pode vir depois como 'bounce'. As
configurações que tem dois MTAs, um para receber e despachar para um
anti-vírus e outra para funcionar para valer podem ser assim. vide
configuração padrão do amavis.

enfim, não acredito que um teste de open relay possa ser feito no frigir dos
ovos quando voce tem uma mensagem na mão para enviar.

> 
> Ponto A) Para se tirar da lista de spammer testes seriam refeitos após
> requisição formal de empresas que constem na lista(declaração que ficaria
> disponivel a toda a comunidade). Além disto em casos de reincidência o
> processo seria bem mais burocrático e demorado. Automatizando este
> processo poderiamos inclusiver criar penalidades e tempos cada vez maiores
> para sair da lista.

isso é política do provedor e pode ser regulada em contrato. minha política é
mais simples: fez UM spam, tá fora. contrato cancelado, paga multa contratual
e não apareça mais. se for meu empregado, demissão por justa causa. assim
simples. o contrato de provisão de acesso e o de trabalho na empresa incluem a
política de uso aceitável.

> 
> Ponto B) Se o domínio não existir o e-mail não pode ser enviado(isso já
> deve ser feito pelos smtp tradicionais!)

o sendmail pode testar o domínio do remetente no envelope, a maior parte das
configurações que conheço já fazem isso por default. só que o endereço do
envelope pode ser mais falso que nota de sete.

> Ponto C) Se alguem quiser montar um smtp server de testes com amigos pode
> usar outra porta tcp - que tal a 26 !! -)

ou que tal a 2525, que não é privilegiada?

> Ponto D) Este serviço pode ser implementado de forma centralizada ou não.
> Pode estar contido em scripts ou códigos nos próprios smtp servers.
> 
> Ponto E) Se um dominio válido que tiver o servidor configurado de maneira
> correta mandar spam este pode ser acionado judicialmente de forma mais
> clara. Afinal uma consulta simples poderia revelar o nome dos responsáveis
> pelo dominio. Através do novo código civil facilmente ações poderiam ser
> tomadas.

qual domínio? a única coisa REAL que voce tem na mão é o endereço IP de onde a
mensagem veio. 

Danton