[GTER] Range 201.x.x.x

[Lao DanTong]

On Thu, 3 Mar 2005, MARLON BORBA wrote:

> Aí está: essa informação é encaminhada apenas a listas de bloqueio, o 
> que nos obriga a assiná-las. Caso essas listas sejam extintas, o que já 
> aconteceu em alguns casos, o assinante deixa de saber quem são os blocos 
> "indesejáveis". Não seria mais simples os próprios provedores difundirem 
> nas suas páginas de suporte técnico essa informação? Assim, cada domínio 
> poderia adotar providências adequadas à sua realidade.

mas é precisamente aí que entra o SPF. o dono de um domínio informa, via 
um RR TXT quais são os endereços IP que estão autorizados a enviar e-mail 
em nome do domínio. com uma simples consulta ao DNS o teu MTA (caramba, 
isto já está ficando sopa de letrinhas) sabe se aquele IP pode ou não 
mandar e-mail em nome daquele domínio. por exemplo:

$ host -t txt internexo.com.br
internexo.com.br text "interNexo Ltda. Consultoria e acesso a Internet"
internexo.com.br text "v=spf1 a mx -all"

a segunda resposta é um registro SPF, que diz que podem enviar e-mail em 
nome do domínio internexo.com.br o IP que for A ou MX desse domínio, todas 
as outras são 'fail'.

o SPF só trata do envelope, para validar cabeçalhos existe outro 
protocolo, o DomainKeys, que também se vale do DNS para publicar chaves 
públicas com as quais as mensagens são assinadas automaticamente pelo MDA 
(Mail Delivery Agent, sutilmente diferente de MTA). Exemplo real de um tal 
registro:

$ host -t txt babbo._domainkey.telar.com.br
babbo._domainkey.telar.com.br text "g=\; k=rsa\; t=y\; p=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALMcKrljqmgkHN+exORHOdyY2AZ4+/+NZzuQrEho/c6pt/BioUODttFXf8QIbma+1hG2XWeyP08HtXu2L5iHEn0CAwEAAQ=="

A dupla SPF+DK está funcionando melhor que as listas negras contra o spam 
e vai funcionar melhor ainda conforme mais e mais domínios as forem 
adotando. Eu estou realmente surpreso com a efetividade desses mecanismos, 
apesar de ainda sua adoção estar longe de ser generalizada. Estou 
preparando um trabalho para a próxima reunião do GTER apresentando dados 
quantitativos tipo antes-e-depois.

Outra arma certeira contra spam e vetores de vírus é a "geladeira", 
apelido que dei para greylisting, manobra que consiste em dar uma resposta 
de erro transitório para cada par (IP,envelope), e liberar o recebimento 
depois de um certo tempo, tipicamente meia a uma hora. Mensagens que vem 
de MTAs verdadeiras serão retransmitidas mais tarde e chegarão ao destino, 
o lixo não.

Esses novos protocolos são fáceis de instalar, não dependem de terceiros 
(p.ex. ninguém precisa assinar a chave pública do DK), não penalizam 
inocentes e, melhor de tudo, funcionam! Sinceramente, acho que as listas 
negras estão com os dias contados.