[GTER] uma ideia para discussão: SPF reverso.
Danton Nunes
danton.nunes at inexo.com.br
Thu Aug 2 10:49:47 -03 2012
On Wed, 1 Aug 2012, Giovane Heleno wrote:
> Ou o dono do IP não tem controle sobre os domínios autorizados a enviar
> através daquele IP.
> É a mesma problemática com um ponto de vista diferente.
exatamente!
o SPF permite ao dono do domínio dizer quais IPs podem enviar. Por que não
ouvir também o dono do IP? O protocolo que estou tentando formalizar é um
mencanismo para que o dono do IP se manifeste.
uma motivação para isso são domínios que atribuem 'pass' para endereços
que não tem nada a ver com ele, normalmente para permitir que spambots
consigam driblar os 'mata-burros'. então, se tivermos uma segunda
verificação, desta vez por conta do dono do IP, esse artifício cairia por
terra. outro caso é um provedor de dialup ou adsl, poderia declarar
'fail' para todos os seus endereços de usuário final, de modo que não
precisariamos de listas de bloqueio específicas de dialup.
olha que exemplo bonitinho:
# spfquery -ip="ff02::1" -sender fulano at bomdia.srv.br
pass
quer dizer que o endereço de multicast "all-nodes" é autorizado a enviar
email de bomdia.srv.br? isto é obviamente absurdo.
a explicação é simples:
# host -t txt bomdia.srv.br
bomdia.srv.br text "v=spf1 ip4:91.218.115.194/27 all"
(o /27 aí é um requinte de luxo, pois o all no fim permite TUDO)
De um mês para cá estou usando um spfmilter remendado que bloqueia essas
excrescências. Já identificamos mais de sessenta domínios com +all e
rejeitamos umas cem mensagens por dia, isso num servidor de baixo tráfego.
Mas não estou contente com a minha gambiarra no spfmilter. Acredito que
seria muito melhor que os donos dos endereços - e no caso de endereços
reservados como o all-nodes que usei no teste acima esse seria o IANA -
pudessem se manifestar, até porque são eles que tem que manter os contatos
de abuse at ., então vão ser os primeiros a receber reclamações de spam.
Essa foi a razão para bolar o SPF reverso. Os registros de autorização
ficariam dentro de subdomínios de .in-addr.arpa ou .ip6.arpa, sobre os
quais o dono dos IPs tem autoridade. Ainda não estamos discutindo
implementação, embora algumas idéias boas tem pipocado nesta lista (estou
guardando os emails, serão úteis na hora em que transformarmos isto em uma
RFC).
-- Danton.
More information about the gter
mailing list