[GTER] RES: Praticas de SMTP 'para fora' e etc
Alfredo Dal´Ava
alfredo.dalava at gmail.com
Thu Nov 20 14:00:04 -02 2008
2008/11/20 Renato Frederick <frederick at dahype.org>
> Até onde sei, os filtros não são feitos pelos grandes provedores. Inclusive
> era algo que deveria ser feito, já que você paga o "provedor laranja" da
> conexão ADSL residencial e portanto, sua sessão PPPoE deveria ser liberada
> para SMTP outbound só para os Relays do "provedor de conteúdo"
> Porém o que vejo em meus logs são milhares de usuários residenciais
> tentando
> fazer SPAM, forjando mailfrom, enfim, um "pardieiro", infelizmente.
> Reduzi drasticamente as tentativas de conexão quando bloqueei os prefixos
> de
> DNS Reverso dos provedores residenciais.
>
> Tentei sugerir esta filtragem em alguns ISP mas os mesmos pediram para
> voltar atrás, por pressão do mercado(afinal o concorrente libera, o cliente
> está acostumado a usar a porta 25 do provedor ABC, o provedor XXX não roda
> um relay na porta 587 e por aí vai.)
> Também não vejo costume no Brasil dos usuários finais usarem a porta 587
> para Relay.
Exatamente. Porém, de qualquer forma eu compreendo a dificuldade de
determinados usários terem que trocar o SMTP para o SMTP local toda vez em
que estiverem viajando de uma rede para outra, ou então terem a possivel
insegurança (dos dados e da entrega) ao fazer relay através de um SMTP
local. O volume de insatisfação não seria pequeno. Todo ISP deve ter muito
cuidado ao fazer bloqueios em seus clientes. Em ambientes restritos, como os
ambientes corporativos, basta uma decisão do TI, ja nos ISPs a coisa é bem
diferente: é o cliente quem manda.
Se os hoje ISPs já tem dor de cabeça ao usar RBLs porque seu cliente precisa
de qualquer forma receber um email originado de uma rede "suja", imagine
bloqueando tudo, impedindo que os seus clientes enviem um email sem passar
pelo "crivo" de um filtro de conteúdo.
Eu acredito que a forma como o SMTP trabalha deveria ser revista ou talvez
outro protocolo teria que ser popularizado (agora existe a onda de
certificação digital. Aceitar apenas conexões certificadas?). Mas isso é uma
coisa que para vingar deve levar ao menos 3 vezes o tempo que levará para o
IPV6 entrar de vez. Enquanto isso, não há concenso sobre o que deve ser
feito, toda solução que eu procuro está cheia de falhas... :(
[]'s
Alfredo
More information about the gter
mailing list