[GTER] Praticas de SMTP 'para fora' e etc
Herlon Alcantara Matos
herlon at lcimt.com.br
Sat Nov 22 09:23:04 -02 2008
Analisei tambem inumeros cenarios e o problema de bloquear dentro de meu AS
o encaminhamento que não fosse o de meu SMTP.
Como já citaram, fiz um log e analisei os envios, mas de 90% dos emails não
são decorrentes de meu SMTP, sendo assim, acarretaria inumeros problemas
junto ao suporte.
Realmente a certificação seria uma evolução.
Herlon Alcantara Matos
LCI
----- Original Message -----
From: <gter-request at eng.registro.br>
To: <gter at eng.registro.br>
Sent: Friday, November 21, 2008 10:11 PM
Subject: [!! SPAM] gter Digest, Vol 68, Issue 39
> Send gter mailing list submissions to
> gter at eng.registro.br
>
> To subscribe or unsubscribe via the World Wide Web, visit
> https://eng.registro.br/mailman/listinfo/gter
> or, via email, send a message with subject or body 'help' to
> gter-request at eng.registro.br
>
> You can reach the person managing the list at
> gter-owner at eng.registro.br
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of gter digest..."
>
>
> Today's Topics:
>
> 1. RES: BGP (Markey Wendley)
> 2. RES: BGP (Markey Wendley)
> 3. RES: BGP (Markey Wendley)
> 4. Re: RES: RES: BGP (Marcos Pitanga)
> 5. Re: RES: RES: BGP (MARLON BORBA)
> 6. Re: RES: BGP (Rubens Kuhl Jr.)
> 7. Re: Praticas de SMTP 'para fora' e etc ( Alfredo Dal?Ava )
> 8. Re: RES: Praticas de SMTP 'para fora' e etc ( Alfredo Dal?Ava )
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Thu, 20 Nov 2008 23:00:50 -0300
> From: "Markey Wendley" <markey at netcampina.com.br>
> Subject: [GTER] RES: BGP
> To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'"
> <gter at eng.registro.br>
> Message-ID: <003c01c94b7d$01942110$04bc6330$@com.br>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Eu uso BGP no mikrotik.
>
> Sds,
>
> Markey
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de F?bio Fonseca
> Enviada em: quinta-feira, 20 de novembro de 2008 21:03
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] BGP
>
> Antonio,
>
> Conhece algum caso de sucesso usando plataforma linux / mikrotik com link
> BGP?
>
> ate
>
> Fabio Fonseca
>
> 2008/11/20 Antonio Carlos Pina <antoniocarlospina at gmail.com>
>
>> O Mikrotik usar? quagga provavelmente.
>>
>> Mikrotik ? um firewall linux com m?dulos propriet?rios e interface
> simples.
>> Quem vai fazer o BGP dele vai ser Quagga ou OpenBGP. Nunca vi XORP em
>> Mikrotik.
>>
>> Abs
>>
>> 2008/11/19 F?bio Fonseca <fabiofonseca at gmail.com>
>>
>> > Caros,
>> > Estou fazendo uma avalia??o para um projeto e gostaria de saber algumas
>> > opni?es sobre usar estas duas solu??es abaixo para fazer roteamento
>> parcial
>> > de um bgp link de 50 mgs:
>> >
>> > - Quagga
>> > - Mikrotik
>> >
>> >
>> > ate
>> >
>> > Fabio Fonseca
>> > --
>> > gter list https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
>
> ------------------------------
>
> Message: 2
> Date: Fri, 21 Nov 2008 10:09:21 -0300
> From: "Markey Wendley" <markey at netcampina.com.br>
> Subject: [GTER] RES: BGP
> To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'"
> <gter at eng.registro.br>
> Message-ID: <003d01c94bda$64a357f0$2dea07d0$@com.br>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Rodo em um PC com Pen-Drive. Nunca me deixou na m?o. Agora se voc? quer
> fugir de PC coloca uma Routerboard.
>
> Sds,
>
> Markey
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de bruno at openline.com.br
> Enviada em: sexta-feira, 21 de novembro de 2008 08:55
> Para: gter at eng.registro.br
> Assunto: Re: [GTER] BGP
>
> --- Danton Nunes <danton at inexo.com.br> escreveu:
>> On Fri, 21 Nov 2008, Toledo, Luis Carlos wrote:
>> > Eu tenho receio em usar PCs como routers por causa das partes m?veis,
>> > tipo HD, fonte, coller de CPU, etc. Principalmente se ficar em algum
>> > site n?o assistido.
>>
>> se esse ? o problema, arranca fora o HD e coloca mem?ria flash no lugar.
>> h? v?rias bios que sabem bootar de pen drive em USB.
>
> Concordo. E se o BIOS n?o souber bootar por pendrive no mercado livre
> tem um zilh?o de vendedores de adaptador CFIDE. Ou se precisar comprar
> com nota tem em (desculpem a propaganda) www.cfide.com.br
>
> Tamb?m existe fonte sem cooler (POW200M). CPU sem cooler s? conheco
> Geode e os Via C3 mas podem existir outras. Ou ent?o coloca logo uma
> placa embedded (Routerboard, ALIX, WRAP), que pode inclusive ser
> alimentada por energia solar
>
> []s, !3runo Cabral
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
>
> ------------------------------
>
> Message: 3
> Date: Fri, 21 Nov 2008 11:05:39 -0300
> From: "Markey Wendley" <markey at netcampina.com.br>
> Subject: [GTER] RES: BGP
> To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'"
> <gter at eng.registro.br>
> Message-ID: <004301c94be2$3de91f70$b9bb5e50$@com.br>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Rugens,
>
> Onde eu conseguiria essa apresenta??o?
>
> Sds,
>
> Markey
>
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Rubens Kuhl Jr.
> Enviada em: sexta-feira, 21 de novembro de 2008 10:49
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] BGP
>
> A performance de PCs montados ? muito vari?vel... a apresenta??o do
> Pedro Torres no ?ltimo GTER cont?m diversas informa??es sobre como
> montar um PC que daria boa performance de forwarding.
>
>
> Rubens
>
>
> 2008/11/21 Eduardo Schoedler <eschoedler at viavale.com.br>:
>> Aqui no sul, com as telecoms rec?m come?ando a instalar links em fibra
>> (FastEthernet), foi testado o Mikrotik como router de borda rodando bgp.
>>
>> Os testes n?o foram feitos por mim, logo n?o posso dizer exatamente como
>> aconteceu.
>> Por?m, o que foi divulgado ? que o MK n?o desempenhou muito bem a fun??o,
>> morreu em throughput.
>> Toda velocidade do link contratado n?o era atingido atr?s dele.
>> Mas tem v?rios detalhes a serem analisados: - era pc montado; - vers?o do
> MK
>> poderia ser antiga; etc.
>>
>> E ficou por isso, ningu?m mais comentou nada. =/
>>
>> Sds,
>> Eduardo.
>>
>> --------------------------------------------------
>> From: "Antonio Carlos Pina" <antoniocarlospina at gmail.com>
>> Sent: Friday, November 21, 2008 9:01 AM
>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
>> <gter at eng.registro.br>
>> Subject: Re: [GTER] BGP
>>
>>> Mikrotik n?o.
>>> Quagga conhe?o um monte.
>>> Abs
>>>
>>> 2008/11/21 Danton Nunes <danton at inexo.com.br>
>>>
>>>> On Wed, 19 Nov 2008, F?bio Fonseca wrote:
>>>>
>>>> Caros,
>>>>>
>>>>> Estou fazendo uma avalia??o para um projeto e gostaria de saber
>>>>> algumas
>>>>> opni?es sobre usar estas duas solu??es abaixo para fazer roteamento
>>>>> parcial
>>>>> de um bgp link de 50 mgs:
>>>>>
>>>>> - Quagga
>>>>> - Mikrotik
>>>>>
>>>>
>>>> quagga na cabe?a!
>>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
>
> ------------------------------
>
> Message: 4
> Date: Fri, 21 Nov 2008 09:14:18 -0200
> From: Marcos Pitanga <marcos.pitanga at gmail.com>
> Subject: Re: [GTER] RES: RES: BGP
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID: <4926980A.6090705 at gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>
> Toledo, Luis Carlos escreveu:
>> Eu tenho receio em usar PCs como routers por causa das partes m?veis,
>> tipo
>> HD, fonte, coller de CPU, etc. Principalmente se ficar em algum site n?o
>> assistido.
>>
>> Router tira um coloca outro, roda o script e t? pronto... Qualquer
>> terceirizado faz, joga na caixa sem d?.
>>
>> J? PC exige uma m?o de obra diferenciada, ou seja, aquele netadmin que
>> tem
>> um caso amoroso como ele (PC).
>>
>> Aqueles scripts que v?o nascendo e s? quem criou sabe dar manuten??o
>> depois,
>> etc.
>>
>> As duas op??es s?o boas, a quest?o ? avaliar a administra??o e a
>> depend?ncia
>> de MO.
>>
>>
> Nada que um boa documenta??o de recupera??o de desastres n?o resolva.
>
> O problema ? que, a maioria das pessoas da ?rea t?cnica n?o gostam de
> documentar seu ambiente.
>
> []?s
>
> Marcos Pitanga
>
>
> ------------------------------
>
> Message: 5
> Date: Fri, 21 Nov 2008 09:49:59 -0200
> From: "MARLON BORBA" <mborba at trf3.jus.br>
> Subject: Re: [GTER] RES: RES: BGP
> To: <gter at eng.registro.br>
> Message-ID: <4926844702000046000168D8 at svntrf311.trf3.gov.br>
> Content-Type: text/plain; charset=ISO-8859-1
>
> DanTong,
>
> Em lugares remotos n?o seria interessante pegar um ferro de soldar e uns
> fios, e, com um pouco de habilidade, "jumpear" os conectores do pendrive
> numa porta USB?
>
> Assim qualquer pancada n?o desconecta o bichinho...
>
>
>
> Abra?os,
>
> Marlon Borba, CISSP, APC DataCenter Associate
> T?cnico Judici?rio - Seguran?a da Informa??o
> IPv6 Evangelist - MoReq-Jus Evangelist
> TRF 3a Regi?o
> (11) 3012-1581
> --
> Practically no IT system is risk free.
> (NIST Special Publication 800-30)
> --
>>>> Danton Nunes <danton at inexo.com.br> 21/11/08 9:46 >>>
> On Fri, 21 Nov 2008, Toledo, Luis Carlos wrote:
>
>> Eu tenho receio em usar PCs como routers por causa das partes m?veis,
>> tipo
>> HD, fonte, coller de CPU, etc. Principalmente se ficar em algum site n?o
>> assistido.
>
> se esse ? o problema, arranca fora o HD e coloca mem?ria flash no lugar.
> h? v?rias bios que sabem bootar de pen drive em USB.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
>
> ------------------------------
>
> Message: 6
> Date: Fri, 21 Nov 2008 23:10:15 -0200
> From: "Rubens Kuhl Jr." <rubensk at gmail.com>
> Subject: Re: [GTER] RES: BGP
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID:
> <6bb5f5b10811211710kd9c11cqb642b5e987b59ec6 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> http://gter.nic.br/reunioes/gter-26/programa
>
> (vide apresenta??o das 14:20)
>
>
> Rubens
>
>
> 2008/11/21 Markey Wendley <markey at netcampina.com.br>:
>> Rugens,
>>
>> Onde eu conseguiria essa apresenta??o?
>>
>> Sds,
>>
>> Markey
>>
>>
>>
>> -----Mensagem original-----
>> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
>> nome de Rubens Kuhl Jr.
>> Enviada em: sexta-feira, 21 de novembro de 2008 10:49
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>> Assunto: Re: [GTER] BGP
>>
>> A performance de PCs montados ? muito vari?vel... a apresenta??o do
>> Pedro Torres no ?ltimo GTER cont?m diversas informa??es sobre como
>> montar um PC que daria boa performance de forwarding.
>>
>>
>> Rubens
>>
>>
>> 2008/11/21 Eduardo Schoedler <eschoedler at viavale.com.br>:
>>> Aqui no sul, com as telecoms rec?m come?ando a instalar links em fibra
>>> (FastEthernet), foi testado o Mikrotik como router de borda rodando bgp.
>>>
>>> Os testes n?o foram feitos por mim, logo n?o posso dizer exatamente como
>>> aconteceu.
>>> Por?m, o que foi divulgado ? que o MK n?o desempenhou muito bem a
>>> fun??o,
>>> morreu em throughput.
>>> Toda velocidade do link contratado n?o era atingido atr?s dele.
>>> Mas tem v?rios detalhes a serem analisados: - era pc montado; - vers?o
>>> do
>> MK
>>> poderia ser antiga; etc.
>>>
>>> E ficou por isso, ningu?m mais comentou nada. =/
>>>
>>> Sds,
>>> Eduardo.
>>>
>>> --------------------------------------------------
>>> From: "Antonio Carlos Pina" <antoniocarlospina at gmail.com>
>>> Sent: Friday, November 21, 2008 9:01 AM
>>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
>>> <gter at eng.registro.br>
>>> Subject: Re: [GTER] BGP
>>>
>>>> Mikrotik n?o.
>>>> Quagga conhe?o um monte.
>>>> Abs
>>>>
>>>> 2008/11/21 Danton Nunes <danton at inexo.com.br>
>>>>
>>>>> On Wed, 19 Nov 2008, F?bio Fonseca wrote:
>>>>>
>>>>> Caros,
>>>>>>
>>>>>> Estou fazendo uma avalia??o para um projeto e gostaria de saber
>>>>>> algumas
>>>>>> opni?es sobre usar estas duas solu??es abaixo para fazer roteamento
>>>>>> parcial
>>>>>> de um bgp link de 50 mgs:
>>>>>>
>>>>>> - Quagga
>>>>>> - Mikrotik
>>>>>>
>>>>>
>>>>> quagga na cabe?a!
>>>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> ------------------------------
>
> Message: 7
> Date: Thu, 20 Nov 2008 12:49:25 -0200
> From: " Alfredo Dal?Ava " <alfredo.dalava at gmail.com>
> Subject: Re: [GTER] Praticas de SMTP 'para fora' e etc
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID:
> <f42d41c30811200649p372fff3br53b6ca7aaced9ef3 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> Ol? J?lio,
>
> ? uma discuss?o bastante interessante. Gostaria de ouvir outras pessoas
> ?
> respeito.
> Aqui n?o filtramos, deixamos ? crit?rio do SMTP de destino aceitar ou
> n?o
> os e-mails enviados pelos nossos clientes. Todo o nosso range de "IP
> din?mico" est? cadastrado em RBLs que informam que o range ? "din?mico".
> Para nossos clientes que est?o de fora ? obrigat?rio o uso de autentica??o
> SMTP para enviar atrav?s de nossos servidores.
> N?o acredito que esta seja a melhor solu??o, por?m a id?ia de bloquear
> todo o conte?do SMTP tamb?m n?o ? bem vinda.
> Ja pensei em colocar um filtro de SMTP (redirecionando para um servidor
> as conex?es que nossos clientes tentam fazer diretamente na porta 25
> externa), por?m n?o cheguei ? conclus?o de como filtrar o que ? legitimo
> ou
> n?o... e ai eu gero outro problema, que ? manter este servidor filtro
> livre
> de pragas e com o "nome limpo" na internet.
> []'s
> Alfredo
> 2008/11/20 bruno at openline.com.br <bruno at openline.com.br>
>
>> --- Julio Arruda <jarruda-gter at jarruda.com> escreveu:
>> > Mas uma curiosidade em funcao disto,...em alguns paises/provedores, eu
>> > vi uma preocupacao grande com metodos para ou prevenir, ou detectar,
>> > envio de SMTP diretamente de usuarios DSL para servidores fora, em
>> > quantidades massivas.
>> > Isto esta sendo feito no Brasil ? Em que grau ? Eu tenho exemplos de
>> > provedores na mesma regiao da Florida, em que uns filtram SMTP
>> > outbound,
>> > outros nao, e ate o mesmo provedor, em diversas regioes da mesma "area"
>> > (condado), filtrando e nao filtrando.
>>
>> Ola
>>
>> Eu filtro. O usuario que quiser enviar SMTP direto precisa pre-cadastrar
>> o SMTP remoto atraves do tele-atendimento. Com isso reduzi a zero a
>> inclusao do meu AS em RBLs.
>>
>> !3runo Cabral
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> ------------------------------
>
> Message: 8
> Date: Thu, 20 Nov 2008 14:00:04 -0200
> From: " Alfredo Dal?Ava " <alfredo.dalava at gmail.com>
> Subject: Re: [GTER] RES: Praticas de SMTP 'para fora' e etc
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID:
> <f42d41c30811200800t3c37a056n89a803a2ab507633 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> 2008/11/20 Renato Frederick <frederick at dahype.org>
>
>> At? onde sei, os filtros n?o s?o feitos pelos grandes provedores.
>> Inclusive
>> era algo que deveria ser feito, j? que voc? paga o "provedor laranja" da
>> conex?o ADSL residencial e portanto, sua sess?o PPPoE deveria ser
>> liberada
>> para SMTP outbound s? para os Relays do "provedor de conte?do"
>> Por?m o que vejo em meus logs s?o milhares de usu?rios residenciais
>> tentando
>> fazer SPAM, forjando mailfrom, enfim, um "pardieiro", infelizmente.
>> Reduzi drasticamente as tentativas de conex?o quando bloqueei os prefixos
>> de
>> DNS Reverso dos provedores residenciais.
>>
>> Tentei sugerir esta filtragem em alguns ISP mas os mesmos pediram para
>> voltar atr?s, por press?o do mercado(afinal o concorrente libera, o
>> cliente
>> est? acostumado a usar a porta 25 do provedor ABC, o provedor XXX n?o
>> roda
>> um relay na porta 587 e por a? vai.)
>> Tamb?m n?o vejo costume no Brasil dos usu?rios finais usarem a porta 587
>> para Relay.
>
>
>
> Exatamente. Por?m, de qualquer forma eu compreendo a dificuldade de
> determinados us?rios terem que trocar o SMTP para o SMTP local toda vez em
> que estiverem viajando de uma rede para outra, ou ent?o terem a possivel
> inseguran?a (dos dados e da entrega) ao fazer relay atrav?s de um SMTP
> local. O volume de insatisfa??o n?o seria pequeno. Todo ISP deve ter muito
> cuidado ao fazer bloqueios em seus clientes. Em ambientes restritos, como
> os
> ambientes corporativos, basta uma decis?o do TI, ja nos ISPs a coisa ? bem
> diferente: ? o cliente quem manda.
> Se os hoje ISPs j? tem dor de cabe?a ao usar RBLs porque seu cliente
> precisa
> de qualquer forma receber um email originado de uma rede "suja", imagine
> bloqueando tudo, impedindo que os seus clientes enviem um email sem passar
> pelo "crivo" de um filtro de conte?do.
>
> Eu acredito que a forma como o SMTP trabalha deveria ser revista ou talvez
> outro protocolo teria que ser popularizado (agora existe a onda de
> certifica??o digital. Aceitar apenas conex?es certificadas?). Mas isso ?
> uma
> coisa que para vingar deve levar ao menos 3 vezes o tempo que levar? para
> o
> IPV6 entrar de vez. Enquanto isso, n?o h? concenso sobre o que deve ser
> feito, toda solu??o que eu procuro est? cheia de falhas... :(
>
> []'s
> Alfredo
>
>
> ------------------------------
>
> --
> gter digest list https://eng.registro.br/mailman/listinfo/gter
>
> End of gter Digest, Vol 68, Issue 39
> ************************************
More information about the gter
mailing list