[GTER] Re: Re: Re: Qmail - Cluster

security at onda.com.br security at onda.com.br
Wed Feb 2 09:07:14 -02 2005 

Citando Lao DanTong <danton at inexo.com.br>:

> On Wed, 2 Feb 2005 security at onda.com.br wrote:
> 
> > Ola.
> >
> >> há dois testes que podem ser feitos no envelope, um é o SPF, com o MAIL
> >> FROM comparado ao endereço IP. Outro é com o RCPT TO comparado com a
> lista
> >> de caixas postais locais.
> >>
> >
> > Concordo plenamente com voce. incluve existe um recurso do postfix que faz
> a
> > verificacao de cada e-mail que chega, indo ateh o MX do remetente verificar
> se
> > realmente aquele e-mail eh valido, pena que muitos servidores retornam
> qualquer
> > lixo at seudominio como valido, tornando o sistema nao tao eficiente.
> 
> hummm, esse teste pode dar falso positivo. existem várias situações em que 
> máquinas que não são o MX de um domínio enviam e-mail em nome do domínio. 
> MX é para receber e-mail, enviar é outra operação totalmente diferente e 
> independente. Para isso é que foi criado o SPF, ele provê exatamente o 
> inverso de MX, isto é, critérios para você decidir se um dado IP está ou 
> não autorizado a enviar e-mail em nome de dado domínio. Outra estratégia 
> de validação de remetentes é Domain Keys. Note que SPF e DK não competem 
> entre si, já que o primeiro valida o envelope e o segundo o cabeçalho.

Isso mesmo que citei acima, infelizmente varios testes dao falso positivo, o que
atrapalha o funcionamento do sistema de verificacao. Uma boa tática é
utiliza-lo somente para alguns dominios.  
Com certeza o SPF ajuda e muito, tenho utilizado com sucesso.

> 
> >> não é só de banda. tem a bendita fila, e todos os bounces que
> >> provavelmente vão dar erro porque os endereços de remetente tabém são
> >> falsos...
> > Voltamos a fila. :)
> 
> no meu entender, de acordo com a configuração do toaster, a fila pode ser 
> um recurso mais escasso do que a banda, porisso é bom caprichar nesse 
> item. Por outro lado, fila entupida é mau sinal, é indicação de que você 
> está gerando muito bounce, ou seja, está processando lixo que poderia ter 
> sido rejeitado antes.

Com certeza, inclusive a validacao do destinatario no envelope reduz a fila em
casos de um ataque baseado em dicionario.




----------------------------------------------------------------
Mensagem Enviada utilizando o Onda Mail.
http://www.onda.com.br
Onda Provedor de Servicos S/A

More information about the gter mailing list