[GTER] uma ideia para discussão: SPF reverso.
Danton Nunes
danton.nunes at inexo.com.br
Thu Aug 2 11:11:41 -03 2012
On Thu, 2 Aug 2012, Henrique de Moraes Holschuh wrote:
> MX é tanto uma função, quanto um RR. Refiro-me à função (MTA de borda,
> pode ser de entrada ou de saída). Entenda como MTA. Quando me refiro a
> um registro DNS, sempre coloco RR (ou RRset se for um conjunto de RRs)
> na frente.
não concordo quanto à saída. MX designa MTA pronta para RECEBER emails.
não conheço RR semelhante para designar quem está pronto a transmitir. O
finado WKS, talvez.
>> para RECEBER email, queremos algo que autorize a TRANSMITIR. embora
>> seja comum que os mesmos servidores façam as duas coisas, elas são
>> independentes.
>
> Melhor que já autorize para cada direção...
>
> rogue.tmp.br IN MX 1 coitado.tmp.br.
>
> rogue contrata spam-run de uma das botnets maiores, usa rogue.tmp.br
> bonitinho no envelope.
neste ponto ao receber uma dessas mensagens quem estivesse usando o SPF
reverso eu perguntaria para o domínio reverso do IP de onde veio a
mensagem: "ei, você autoriza sair email de rogue.tmp.br?" e ele
responderia "não, nem sei quem é o cara.". Imediatamente mandaria um 5.7.1
na orelha dele e cortaria a conversa smtp antes do 'data'.
> coitado.tmp.br terá problemas por no mínimo 5 dias, basta rogue.tmp.br
> manter o DNS atualizado com os MXs de entrada de coitado.tmp.br
é verdade.
> Agora, demoraria até os MTAs adotarem essa verificação dupla, mas se
> você nem torna ela possível, não acontecerá nunca. A utilidade máxima
> dela é na hora de enviar DSNs, você consegue evitar transmitir backscatter.
porque não a torno possível? estamos justamente discutindo na lista
especificações e problemas para torná-la possível!
acho que a utilidade é similar à do SPF, isto é, na hora de receber uma
mensagem e validar a relação entre envelope (e helo também) com o endereço
IP, provendo um procedimento de validação que complementa o do SPF.
note que não é o dono do domínio, e sim o dono do IP que está com a
palavra no SPF reverso. porisso que o lugar certo de colocá-lo no DNS é no
domínio reverso.
-- Danton.
More information about the gter
mailing list