[GTER] Data para Bloqueio da porta 25
Danton Nunes
danton at inexo.com.br
Thu Jan 7 12:27:45 -02 2010
On Thu, 7 Jan 2010, Rafael Henrique Faria wrote:
> Acho que assim, para o lado do servidor, os benefícios não serão
> tantos, acredito que apenas 1:
>
> Por exemplo, se eu conectar direto no seu servidor a partir de
> qualquer máquina, eu consigo mandar uma mensagem para alguém do seu
> domínio através desta conexão, sem autenticar, pois o seu MTA irá
> apenas receber a mensagem como se eu fosse um MTA também.
sim, é assim mesmo.
> Mas claro, é possível contornar este procedimento verificando se o IP
> de origem da conexão é o MX do domínio em questão, e outras
> verificações do tipo.
existe um jeito mais sofisticado de fazer isso que é o protocolo SPF, em
que o dono do domínio do remetente define uma lista de controle de acesso
de quem pode mandar email em nome do domínio.
> Mas não permitindo que usuários comuns enviem mensagem pela porta 25,
> você pode fechar mais ainda o MTA, criando regras para certificar que
> a conexão de origem é um MTA válido. Mas nada que não possa ser
> realizado hoje.
e como você distingue um MTA válido de um telnet na porta 25 do meu
notebook? as coisas não são tão pão-pão queijo-queijo assim.
> Por exemplo, podemos ter um 200.x.x.0/24, com todas as portas TCP 25
> DEST bloqueadas. Então dá para garantir que nenhuma máquina desta
> faixa conseguirá se passar por um MTA e enviar mensagens.
sim, porque MTAs conversam com outros MTAs justamente pela porta que está
bloqueada.
> Agora se alguém de dentro desta rede, tentar enviar um e-mail através
> do seu servidor que ainda utilizará a porta 25, essa pessoa não
> conseguirá, mesmo que seja um e-mail valido.
exatamente. mas como o servidor que ele usa é decente e segue as boas
regras do jogo, terá a porta 587 aberta para receber a submissão de
mensagens. então, tudo o que o usuário válido tem a fazer é configurar seu
cliente, trocar 25 por 587 e tacar lá suas credenciais. se o servidor for
indecente e não aceitar conexão pela 587 ainda resta a possibilidade de
usar um webmail, ou melhor ainda, trocar de provedor de serviço de
correio para um decente.
usando a metáfora meio porca do correio comum, a 587 corresponde ao ato de
depositar o envelope na caixa do correio. a 25 é usada entre os vários
postos da empresa de correio. Assim como você não coloca sua carta
diretamente nas máquinas de classificação, também não deve enviar email
para servidores de transporte.
More information about the gter
mailing list