[GTER] Greylisting - Em que redes usar

Marcelo Coelho marcelo at tpn.com.br
Tue Mar 8 19:20:28 -03 2005


>  Spam esse que não seria mesmo bloqueado pelo greylisting, pois o
> MTA tentaria de novo...  Eu não pensei da mesma forma que o Marcelo
> Coelho, mas concordo que a idéia dele está certa...

Para um servidor que recebe muitas mensagens por dia, o melhor a se fazer é
identificar verdadeiros MTAs e deixá-los passar direto pelo greylisting.
Algumas pessoas usam SPF para determinar se o greylisting será usado ou não,
mas como nem todo mundo adotou o SPF, a regra não atenderá a todo mundo -
ainda assim melhor do que ficar procurando no limbo quais são os verdadeiros
MTA.

> Para fins de greylisting, não adianta absolutamente nada forçar os
> grandes provedores.  Se voce sabe quais os IPs que eles usam, libera
> eles da graylist que é melhor para todo mundo.  Notem que não basta
> liberar por endereco, tem que ser por IP mesmo.  Senão um email falso
> @uol.com.br passaria pela greylist, mesmo tendo vindo de um ADSL.

Eu não conheço o sistema de greylisting dos servidores Postfix ou Exim, mas
no meu caso, que uso qmail, eu utilizo o reverso da máquina. (*.dominio)
para determinar a utilização do greylisting. O tcpserver, programa
responsável por colocar o serviço SMTP no ar, tem um arquivo de configuração
(tcp.smtp) onde posso definir variáveis de ambientes, que são usadas pelo
qmail-smtpd e com isso eu consigo separar uma coisa da outra.

Pelos comentários, acredito que outras implementações levem em conta o MAIL
FROM.

Segue a lista:

terra.com.br
yahoo.com
yahoo.com.br
aol.com
uol.com.br
globo.com
gmail.com
msn.com
hotmail.com
zipmail.com.br
pop.com.br

No caso acima, os servidores SMTP do terra, com nomes itapoa.terra.com.br,
linares.terra.com.br, etc.. passam direto pelo greylisting. Assim como
qualquer coisa *.terra.com.br. O mesmo para os demais domínios da lista.

O problema que percebi é que em alguns casos, como o domínio ig.com.br, eles
não separam em um subdomínio para as conexões dial-up. Assim um usuário de
conexão dial-up pode ter um hostname 200-123-123-123.ig.com.br, fazendo com
que estes IPs também fossem liberados, o que eu não quero, obviamente. Então
apenas para o domínio ig.com.br, eu libeirei a faixa de IPs 200.226.132/24,
pois pelo que vi são os IPs que enviam e-mail. O resto dos IPs cujo reverso
terminam com .ig.com.br vão passar pelo greylisting, normalmente. Como o
ig.com.br não publicou SPF, fica difícil adivinhar quais IPs eles usam para
mandar e-mail.

Este problema não existiria se a conexão dial-up tivesse um nome
200-123-123-123.dial.ig.com.br. Alias, se tiver alguém do IG no grupo, fica
a sugestão de alteração. Isso evitaria muitos vírus ficarem circulando a
Internet, porque todo mundo poderia rejeitar conexões diretas no MX de IPs
cujo reverso fosse *.dial.ig.com.br

> Marcelo, voce pode me enviar em private a sua lista de IPs?  Obrigado.

Como falei, eu não uso IPs, mas sim o reverso das máquinas. Aconselho
aplicar o greylisting nos ADSLs/Cable e bloquear tudo quanto é DIAL-UP.
Tirei minha lista desta página: http://www.spambr.org/bloqueio.php3

--
Marcelo Coelho
marcelo at tpn.com.br




More information about the gter mailing list