[GTER] Re: uol.com.br

Danton Nunes danton at inexo.com.br
Mon Jul 14 21:03:29 -03 2003


On Mon, 14 Jul 2003, Francisco G. Matos wrote:

> >> o que está errado no sistema do UOL:
> 
> >> - ele usa o campo From: ou o envelope (que podem ser falsificados) ele barra
> >> uma mensagem que eu mande para mim mesmo?
> 
> Se um email for inserido na black-list, será barrado. Mesmo que seja o do próprio
> destinatário. Dessa forma, é possível barrar o spam do tipo from=to.

voce não entendeu nada. envelope e from: são arbitrários e não tem nada a ver
com quem realmente enviou a mensagem. capisce? eu ponho qualquer bobagem que
eu quiser no from: das minhas mensagens. você nunca mandou e-mail dando telnet
pela porta 25?

> >> - ele usa imagens (que quebra a acessibilidade)
> 
> A validação de remetente humano com imagens de palavras distorcidas,
> é a solução adota por 11 em cada 10 sites que precisam impedir acesso
> automático às páginas. A usabilidade não atine 100 % dos usuários, mas
> até o momento não conhecemos outra opção que atinja mais usuários.

pois os 11 em 10 estão erraqdos e violando normas se não a lei. a norma
permite um conteúdo alternativo, por exemplo, som. que tal sintetizar um mp3
com as letrinhas? estaria dentro da norma por fornecer um conteúdo
alternativo.

> No caso dos deficientes visuais, podemos dizer que a mensagem enviada
> não é imediatamente apagada se o remente não puder ou quiser responder
> o teste. O destinatário poderá conferir a pasta de quarentena antes das
> mensagens serem apagadas. O UOL alerta regularmente a seus usuários
> que a pasta de quarentena deve ser conferida.

sei.

> >>- ele manda mensagens em HTML (mensagens de erro ou de status tem que
> >> vir em texto simples, dita o bom senso)
> 
> Concordo, mas com ressalvas: message-body em HTML melhoram a
> usabilidade para quem recebe e visualiza em HTML. De qualquer forma,
> a crítica está anotada.

errado. text/plain é o formato mais legível e mais facilmente aceito por todos
os agentes de usuário. ou voce acha que só existe outlook no mundo? além disso
mensagens desse tipo *devem* poder ser tratadas por não humanos.

> >> - ele usa um serviço para validar outro (web para validar e-mail)
> 
> Dizer apenas que POP3 , SMTP e HTTP não podem ser usados
> simultaneamente em um mesmo sistema, me parece uma argumentação
> insuficiente. O fato de existirem possíveis usuários com acesso a POP3
> mas sem acesso HTTP não nos pareceu justificativa para inviabilizar a
> solução. Novamente: a mensagem enviada não é imediatamente apagada
> se o remente não responder ao teste.

sim, no meu telefone celular eu não tenho esses serviços todos ao mesmo tempo.
voces tem que entender que o paradigma PC+windows+speedy é apenas uma das
possibilidades de se receber e enviar e-mail. quanto menos linha cruzada de
protocolos, melhor. se sua whitelist fosse baseada simplesmente em replicar a
mensagem de confirmação funcionaria em mais ambientes, seria mais user
friendly e ainda assim estaria repelindo a maioria dos spammers, porque esses
usam endereços de retorno mais falsos que nota de sete, de modo que as
mensagens de aviso seriam perdidas e os spams apodreceriam na quarentena.

proponho que voces experimentem um filtro chamado spamassassin como opção para
seus usuários. (além ou em substituição ao que existe eu considero
inaceitável)

> >> - ele torna impossível receber mensagens de sistemas externos à internet
> >> (ok, a bitnet já morreu, mas essas coisas ainda existem).
> 
> Como o Armando já disse, o envio de testes com imagem é um opcional.
> Se o usuário recebe emails dessa natureza, pode optar por não ativar o teste.
> Ou ainda: configurar os domínios de rementes dessa natureza na sua white-list
> e manter aitvo o envio do teste.

o problema não está em quem recebe, mas em quem envia. se mando um e-mail de
fora da internet para fulano at uol.com.br, posso até receber o 'challenge', mas
não tenho como respondê-lo.

> >> só que isto não é questão de opinião. o sistema é furado na sua base e logo
> >> que os spammers mais espertinhos desobrirem o caminho das pedras dele só vai
> >> sobrar o incômodo.
> 
> IMHO, até o momento não percebemos nenhum "caminho das pedras" nas suas
> colocações.

o From é o caminho das pedras!

uma novidade:

soube de um grupo de hackers que teve sucesso com o gocr+ispell mais algum
processamento de imagens para reconhecer automaticamente as imagens do sistema
anti-spam. estão testando também o OCR do NIST, o mesmo que é usado pelo
imposto de renda americano para reconhecer formulários escritos à mão. eles
estão a um passo de automatizar o processo de resposta. um dos hackers em
questão é cego...

danton



More information about the gter mailing list