[GTER] Re: uol.com.br

Francisco G. Matos kiko at uol.com.br
Mon Jul 14 19:50:28 -03 2003


Prezados Danton e Edgar,

Como um dos membros da equipe responsável pelo desenvolvimento do
sistema de anti-spam do UOL, gostaria de comentar abaixo alguns dos
aspectos *técnicos* referentes às suas ponderações.

Desde já, coloco-me à disposição desse grupo para responder às dúvidas,
críticas e/ou sugestões que julgarem relevantes. Agradeço também, ao
Dalton e ao Edgar pela oportunidade de expor nossos argumentos.

>> o que está errado no sistema do UOL:

>> - ele usa o campo From: ou o envelope (que podem ser falsificados) ele barra
>> uma mensagem que eu mande para mim mesmo?

Se um email for inserido na black-list, será barrado. Mesmo que seja o do próprio
destinatário. Dessa forma, é possível barrar o spam do tipo from=to.


>> - ele usa imagens (que quebra a acessibilidade)

A validação de remetente humano com imagens de palavras distorcidas,
é a solução adota por 11 em cada 10 sites que precisam impedir acesso
automático às páginas. A usabilidade não atine 100 % dos usuários, mas
até o momento não conhecemos outra opção que atinja mais usuários.

No caso dos deficientes visuais, podemos dizer que a mensagem enviada
não é imediatamente apagada se o remente não puder ou quiser responder
o teste. O destinatário poderá conferir a pasta de quarentena antes das
mensagens serem apagadas. O UOL alerta regularmente a seus usuários
que a pasta de quarentena deve ser conferida.


>>- ele manda mensagens em HTML (mensagens de erro ou de status tem que
>> vir em texto simples, dita o bom senso)

Concordo, mas com ressalvas: message-body em HTML melhoram a
usabilidade para quem recebe e visualiza em HTML. De qualquer forma,
a crítica está anotada.


>> - ele usa um serviço para validar outro (web para validar e-mail)

Dizer apenas que POP3 , SMTP e HTTP não podem ser usados
simultaneamente em um mesmo sistema, me parece uma argumentação
insuficiente. O fato de existirem possíveis usuários com acesso a POP3
mas sem acesso HTTP não nos pareceu justificativa para inviabilizar a
solução. Novamente: a mensagem enviada não é imediatamente apagada
se o remente não responder ao teste.


>> - ele torna impossível receber mensagens de sistemas externos à internet
>> (ok, a bitnet já morreu, mas essas coisas ainda existem).

Como o Armando já disse, o envio de testes com imagem é um opcional.
Se o usuário recebe emails dessa natureza, pode optar por não ativar o teste.
Ou ainda: configurar os domínios de rementes dessa natureza na sua white-list
e manter aitvo o envio do teste.


>> só que isto não é questão de opinião. o sistema é furado na sua base e logo
>> que os spammers mais espertinhos desobrirem o caminho das pedras dele só vai
>> sobrar o incômodo.

IMHO, até o momento não percebemos nenhum "caminho das pedras" nas suas
colocações.


Sobre a colocação do Edgar:

>> Foi o que eu disse em outra mensagem, eh so os spammers descobrirem isso que
>> ja fura o "super-anti-spam-tabajara" do UOL.
>> Com certeza existe algum email como "suporte at uol.com.br" que eh usado pra
>> propaganda interna e eh liberado na caixa de todo mundo. ;-D

Os SMTPs públicos do UOL não recebem mensagens de tais remetentes, apenas
SMTPs internos podem enviar mensagens com esses remetentes.


Gostaria de acrescentar que a Earth Link, segundo maior provedor dos EUA,
colocou no ar uma solução similar, na mesma semana em que o UOL o fez.
http://www.earthlink.net/spamblocker/tour/suspect.html
(Em especial, sobre o teste com imagens, veja o texto "Tip" )

Atenciosamente

Francisco Matos




More information about the gter mailing list