[GTER] RES: Praticas de SMTP 'para fora' e etc

Eduardo Schoedler eschoedler at viavale.com.br
Thu Nov 20 15:16:31 -02 2008


Eu criei uma regra no postfix aqui, que barrou (e MUITO) a conexão de hosts 
last mile networks.

# /etc/postfix/client_blacklist.regexp
/([0-9]{1,3}(\.|-)){3}.*\.[a-z]+/       REJECT Provedor-BL (last mile 
networks)
/(^a?dsl|a?dsl(\.|-)|(\.|-)a?dsl|(\.|-)d(yn|ip|ial)(\.|-)|(\.|-)cable(\.|-)|(\.|-)user(\.|-)|^dynamic|(\.|-)dynamic|dynamic(\.|-)|(\.|-)ppp(oe)?|^ppp)/ 
REJECT Provedor-BL (last mile networks)


Estatística de um único dia, de um servidor:
Client host rejected: Provedor-BL (last mile networks) (total: 55663)


Sds,
Eduardo.

--------------------------------------------------
From: "Renato Frederick" <frederick at dahype.org>
Sent: Thursday, November 20, 2008 12:00 PM
To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'" 
<gter at eng.registro.br>
Subject: [GTER] RES:  Praticas de  SMTP 'para fora' e etc

> Até onde sei, os filtros não são feitos pelos grandes provedores. 
> Inclusive
> era algo que deveria ser feito, já que você paga o "provedor laranja" da
> conexão ADSL residencial e portanto, sua sessão PPPoE deveria ser liberada
> para SMTP outbound só para os Relays do "provedor de conteúdo"
> Porém o que vejo em meus logs são milhares de usuários residenciais 
> tentando
> fazer SPAM, forjando mailfrom, enfim, um "pardieiro", infelizmente.
> Reduzi drasticamente as tentativas de conexão quando bloqueei os prefixos 
> de
> DNS Reverso dos provedores residenciais.
>
> Tentei sugerir esta filtragem em alguns ISP mas os mesmos pediram para
> voltar atrás, por pressão do mercado(afinal o concorrente libera, o 
> cliente
> está acostumado a usar a porta 25 do provedor ABC, o provedor XXX não roda
> um relay na porta 587 e por aí vai.)
> Também não vejo costume no Brasil dos usuários finais usarem a porta 587
> para Relay.
> A instituição que trabalho adota o bloqueio, não só para ajudar a evitar
> roubo de informações, mas também para evitar que um eventual malware
> prejudique nossa rede.
>
>> -----Mensagem original-----
>> De: Julio Arruda
>> Enviada em: quinta-feira, 20 de novembro de 2008 12:16
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>> Assunto: [GTER] Praticas de SMTP 'para fora' e etc
>>
>> Obvio que todos aqui estao sempre de olho:
>>
>> http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?a
>> rticleID=212100876&cid=RSSfeed
>>
>>
>> Mas uma curiosidade em funcao disto,...em alguns paises/provedores, eu
>> vi uma preocupacao grande com metodos para ou prevenir, ou detectar,
>> envio de SMTP diretamente de usuarios DSL para servidores fora, em
>> quantidades massivas.
>> Isto esta sendo feito no Brasil ? Em que grau ? Eu tenho exemplos de
>> provedores na mesma regiao da Florida, em que uns filtram SMTP
>> outbound,
>> outros nao, e ate o mesmo provedor, em diversas regioes da mesma "area"
>> (condado), filtrando e nao filtrando. 




More information about the gter mailing list