[GTER] Data para Bloqueio da porta 25
Fabio Catunda
fcatunda at lightcomm.com.br
Thu Jan 7 13:36:48 -02 2010
Eu venho acompanhando esse tópico do início, mas vou ser honesto, ainda
não entendi em que o bloqueio vai ajudar.
A grande vantagem que vi até o momento é que os provedores poderiam
bloquear a porta 25/tcp, maravilha. Mas vocês não acham que os malwarez
da vida vão se adaptar muito mais rápido do que os provedores de Internet?
Att,
Catunda!
Danton Nunes wrote:
> On Thu, 7 Jan 2010, Rafael Henrique Faria wrote:
>
>> Acho que assim, para o lado do servidor, os benefícios não serão
>> tantos, acredito que apenas 1:
>>
>> Por exemplo, se eu conectar direto no seu servidor a partir de
>> qualquer máquina, eu consigo mandar uma mensagem para alguém do seu
>> domínio através desta conexão, sem autenticar, pois o seu MTA irá
>> apenas receber a mensagem como se eu fosse um MTA também.
>
> sim, é assim mesmo.
>
>> Mas claro, é possível contornar este procedimento verificando se o IP
>> de origem da conexão é o MX do domínio em questão, e outras
>> verificações do tipo.
>
> existe um jeito mais sofisticado de fazer isso que é o protocolo SPF,
> em que o dono do domínio do remetente define uma lista de controle de
> acesso de quem pode mandar email em nome do domínio.
>
>> Mas não permitindo que usuários comuns enviem mensagem pela porta 25,
>> você pode fechar mais ainda o MTA, criando regras para certificar que
>> a conexão de origem é um MTA válido. Mas nada que não possa ser
>> realizado hoje.
>
> e como você distingue um MTA válido de um telnet na porta 25 do meu
> notebook? as coisas não são tão pão-pão queijo-queijo assim.
>
>> Por exemplo, podemos ter um 200.x.x.0/24, com todas as portas TCP 25
>> DEST bloqueadas. Então dá para garantir que nenhuma máquina desta
>> faixa conseguirá se passar por um MTA e enviar mensagens.
>
> sim, porque MTAs conversam com outros MTAs justamente pela porta que
> está bloqueada.
>
>> Agora se alguém de dentro desta rede, tentar enviar um e-mail através
>> do seu servidor que ainda utilizará a porta 25, essa pessoa não
>> conseguirá, mesmo que seja um e-mail valido.
>
> exatamente. mas como o servidor que ele usa é decente e segue as boas
> regras do jogo, terá a porta 587 aberta para receber a submissão de
> mensagens. então, tudo o que o usuário válido tem a fazer é configurar
> seu cliente, trocar 25 por 587 e tacar lá suas credenciais. se o
> servidor for indecente e não aceitar conexão pela 587 ainda resta a
> possibilidade de usar um webmail, ou melhor ainda, trocar de provedor
> de serviço de correio para um decente.
>
> usando a metáfora meio porca do correio comum, a 587 corresponde ao
> ato de depositar o envelope na caixa do correio. a 25 é usada entre os
> vários postos da empresa de correio. Assim como você não coloca sua
> carta diretamente nas máquinas de classificação, também não deve
> enviar email para servidores de transporte.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list