[GTER] Data para Bloqueio da porta 25

Danton Nunes danton at inexo.com.br
Thu Jan 7 12:27:45 -02 2010 

On Thu, 7 Jan 2010, Rafael Henrique Faria wrote:

> Acho que assim, para o lado do servidor, os benefícios não serão
> tantos, acredito que apenas 1:
>
> Por exemplo, se eu conectar direto no seu servidor a partir de
> qualquer máquina, eu consigo mandar uma mensagem para alguém do seu
> domínio através desta conexão, sem autenticar, pois o seu MTA irá
> apenas receber a mensagem como se eu fosse um MTA também.

sim, é assim mesmo.

> Mas claro, é possível contornar este procedimento verificando se o IP
> de origem da conexão é o MX do domínio em questão, e outras
> verificações do tipo.

existe um jeito mais sofisticado de fazer isso que é o protocolo SPF, em 
que o dono do domínio do remetente define uma lista de controle de acesso 
de quem pode mandar email em nome do domínio.

> Mas não permitindo que usuários comuns enviem mensagem pela porta 25,
> você pode fechar mais ainda o MTA, criando regras para certificar que
> a conexão de origem é um MTA válido. Mas nada que não possa ser
> realizado hoje.

e como você distingue um MTA válido de um telnet na porta 25 do meu 
notebook? as coisas não são tão pão-pão queijo-queijo assim.

> Por exemplo, podemos ter um 200.x.x.0/24, com todas as portas TCP 25
> DEST bloqueadas. Então dá para garantir que nenhuma máquina desta
> faixa conseguirá se passar por um MTA e enviar mensagens.

sim, porque MTAs conversam com outros MTAs justamente pela porta que está 
bloqueada.

> Agora se alguém de dentro desta rede, tentar enviar um e-mail através
> do seu servidor que ainda utilizará a porta 25, essa pessoa não
> conseguirá, mesmo que seja um e-mail valido.

exatamente. mas como o servidor que ele usa é decente e segue as boas 
regras do jogo, terá a porta 587 aberta para receber a submissão de 
mensagens. então, tudo o que o usuário válido tem a fazer é configurar seu 
cliente, trocar 25 por 587 e tacar lá suas credenciais. se o servidor for 
indecente e não aceitar conexão pela 587 ainda resta a possibilidade de 
usar um webmail, ou melhor ainda, trocar de provedor de serviço de 
correio para um decente.

usando a metáfora meio porca do correio comum, a 587 corresponde ao ato de 
depositar o envelope na caixa do correio. a 25 é usada entre os vários 
postos da empresa de correio. Assim como você não coloca sua carta 
diretamente nas máquinas de classificação, também não deve enviar email 
para servidores de transporte.

More information about the gter mailing list