[GTER] Dificuldade em gerência da porta 25
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Tue Dec 15 13:36:18 -02 2009
João Paulo Just wrote:
> A dificuldade não é técnica, o problema é: bloqueei a saída pela porta 25, mas
> muitos clientes usam e-mails corporativos que só recebem conexões SMTP pela
> porta 25, tem até agência dos Correios nessa situação.
A ideia da gerência de porta 25 é:
1. Usuário nunca sai *DIRETAMENTE* pela porta 25, somente MTAs
autorizados podem usar a porta 25 para cruzar a borda;
2. Um MSA estará disponível para os usuários cruzarem a borda, através
da porta 587, 465, e inclusive a porta 25. É importante lembrar que MSA
obrigatoriamente deve rejeitar qualquer tentativa de envio antes da
autenticação, não importa em que porta esteja escutando.
No MSA, você coloca anti-vírus (acaba sendo o IPS para email), e impõe
limites (rate limits) de acordo com o tipo de usuário. Os limites podem
até ser absurdamente altos, eles existem para evitar alguns ataques e
para ajudar em caso de spam-runs de bots defeituosos.
Usuários corporativos, em geral, devem ser questionados se precisam da
porta 25 aberta, e caso positivo, devem ser orientados a implementar a
gerência de porta 25 em suas redes. Dependendo da sua política de
serviço, devem inclusive fornecer os IPs dos seus MTAs para que apenas
esses IPs possam fazer conexões saintes pela porta 25.
Usuários de hosting e colocation devem ser severamente desencorajados a
pedirem a liberação da porta 25 (exceto se forem provedores de email, é
claro). Devem ser orientados a utilizar MSAs providos por você.
É bom lembrar que qualquer MTA que preste pode ser configurado para
encaminhar mensagens para um MSA smarthost, inclusive autenticando-se.
Mesmo com todos estes cuidados, terão problemas os usuários que precisam
enviar email por algum servidor específico (tipicamente devido ao uso de
SPF restrito), quando este servidor não implementar um MSA na porta 587
ou 465.
Aí, se quiser manter a gerência e não tiver como resolver o problema do
usuário de outra forma, só tem um jeito: obrigar o uso de IP estático
para estes usuários de forma a poder colocar exceções na firewall e
liberar o acesso dos mesmos pela porta 25 para os destinos estritamente
necessários.
> Infelizmente, pra que a gerência da porta 25 funcione aqui no Brasil, temos
> que conscientizar primeiro as empresas de hosting de e-mails e os admins das
> empresas que rodam seus próprios servidores de e-mails.
Sim, uma campanha de conscientização técnica é necessária.
--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464
Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
More information about the gter
mailing list