[GTER] uma ideia para discussão: SPF reverso.

Danton Nunes danton.nunes at inexo.com.br
Thu Aug 2 10:49:47 -03 2012


On Wed, 1 Aug 2012, Giovane Heleno wrote:

> Ou o dono do IP não tem controle sobre os domínios autorizados a enviar
> através daquele IP.
> É a mesma problemática com um ponto de vista diferente.

exatamente!

o SPF permite ao dono do domínio dizer quais IPs podem enviar. Por que não 
ouvir também o dono do IP? O protocolo que estou tentando formalizar é um 
mencanismo para que o dono do IP se manifeste.

uma motivação para isso são domínios que atribuem 'pass' para endereços 
que não tem nada a ver com ele, normalmente para permitir que spambots 
consigam driblar os 'mata-burros'. então, se tivermos uma segunda 
verificação, desta vez por conta do dono do IP, esse artifício cairia por 
terra. outro caso é um provedor de dialup ou adsl, poderia declarar 
'fail' para todos os seus endereços de usuário final, de modo que não 
precisariamos de listas de bloqueio específicas de dialup.

olha que exemplo bonitinho:

# spfquery -ip="ff02::1" -sender fulano at bomdia.srv.br
pass

quer dizer que o endereço de multicast "all-nodes" é autorizado a enviar 
email de bomdia.srv.br? isto é obviamente absurdo.

a explicação é simples:

# host -t txt bomdia.srv.br
bomdia.srv.br text "v=spf1 ip4:91.218.115.194/27 all"

(o /27 aí é um requinte de luxo, pois o all no fim permite TUDO)

De um mês para cá estou usando um spfmilter remendado que bloqueia essas 
excrescências. Já identificamos mais de sessenta domínios com +all e 
rejeitamos umas cem mensagens por dia, isso num servidor de baixo tráfego.

Mas não estou contente com a minha gambiarra no spfmilter. Acredito que 
seria muito melhor que os donos dos endereços - e no caso de endereços 
reservados como o all-nodes que usei no teste acima esse seria o IANA - 
pudessem se manifestar, até porque são eles que tem que manter os contatos 
de abuse at ., então vão ser os primeiros a receber reclamações de spam.

Essa foi a razão para bolar o SPF reverso. Os registros de autorização 
ficariam dentro de subdomínios de .in-addr.arpa ou .ip6.arpa, sobre os 
quais o dono dos IPs tem autoridade. Ainda não estamos discutindo 
implementação, embora algumas idéias boas tem pipocado nesta lista (estou 
guardando os emails, serão úteis na hora em que transformarmos isto em uma 
RFC).

-- Danton.



More information about the gter mailing list