[GTER] uma ideia para discussão: SPF reverso.

Danton Nunes danton.nunes at inexo.com.br
Thu Aug 2 11:11:41 -03 2012


On Thu, 2 Aug 2012, Henrique de Moraes Holschuh wrote:

> MX é tanto uma função, quanto um RR.  Refiro-me à função (MTA de borda,
> pode ser de entrada ou de saída).  Entenda como MTA.  Quando me refiro a
> um registro DNS, sempre coloco RR (ou RRset se for um conjunto de RRs)
> na frente.

não concordo quanto à saída. MX designa MTA pronta para RECEBER emails. 
não conheço RR semelhante para designar quem está pronto a transmitir. O 
finado WKS, talvez.

>> para RECEBER email, queremos algo que autorize a TRANSMITIR. embora
>> seja comum que os mesmos servidores façam as duas coisas, elas são
>> independentes.
>
> Melhor que já autorize para cada direção...
>
> rogue.tmp.br IN MX 1 coitado.tmp.br.
>
> rogue contrata spam-run de uma das botnets maiores, usa rogue.tmp.br
> bonitinho no envelope.

neste ponto ao receber uma dessas mensagens quem estivesse usando o SPF 
reverso eu perguntaria para o domínio reverso do IP de onde veio a 
mensagem: "ei, você autoriza sair email de rogue.tmp.br?" e ele 
responderia "não, nem sei quem é o cara.". Imediatamente mandaria um 5.7.1 
na orelha dele e cortaria a conversa smtp antes do 'data'.

> coitado.tmp.br terá problemas por no mínimo 5 dias, basta rogue.tmp.br
> manter o DNS atualizado com os MXs de entrada de coitado.tmp.br

é verdade.

> Agora, demoraria até os MTAs adotarem essa verificação dupla, mas se
> você nem torna ela possível, não acontecerá nunca.  A utilidade máxima
> dela é na hora de enviar DSNs, você consegue evitar transmitir backscatter.

porque não a torno possível? estamos justamente discutindo na lista 
especificações e problemas para torná-la possível!

acho que a utilidade é similar à do SPF, isto é, na hora de receber uma 
mensagem e validar a relação entre envelope (e helo também) com o endereço 
IP, provendo um procedimento de validação que complementa o do SPF.

note que não é o dono do domínio, e sim o dono do IP que está com a 
palavra no SPF reverso. porisso que o lugar certo de colocá-lo no DNS é no 
domínio reverso.

-- Danton.



More information about the gter mailing list