[GTER] sobre spam: bloquear reverso inconsistente funciona mesmo?

Danton Nunes danton.nunes at inexo.com.br
Tue Aug 21 11:31:50 -03 2012


Um hábito bastante comum em receptores de email (MX) para combate a spam é 
exigir que o endereço IP do remetente tenha tradução reversa e que esta 
seja consistente, isto é, recupere o endereço IP original quando traduzido 
diretamente.

Sempre fui contra este procedimento, porque ele não tem fundamento em 
normas, reverso não é obrigatório, embora altamente recomendável.

Para quantificar um pouco a questão, fiz uma estatística sobre algumas 
mensagens classificadas como spam, tanto por classificadores automáticos 
(spamassassin) quanto humanos, depois de sobreviver a outros filtros. 
Foram consideradas 948 endereços únicos de mais de 2mil mensagens.

A primeira constatação interessante é que apenas 68 endereços não tinham 
reverso. Dos 880 que tinham reverso, 688 (78%) apresentavam tradução 
direta consistente, isto é, o RRset da tradução ip -> nome -> ip continha 
o endereço ip original. 184 (21%) falharam nesse teste, mas a tradução 
direta resolvia para alguma coisa. Por último, somente em 8 casos (1%) a 
tradução direta deu água (NXDOMAIN).

Resumindo, testar o reverso somente bloqueia cerca de 20% dos spams que 
não foram bloqueados por outros critérios, no caso duas listas negras 
(spamcop e spamhaus), greylist e spf. Ainda não tenho uma avaliação de 
quanto o critério do reverso bloquearia de mensagens boas, levantamento 
que ainda vou fazer, mas me parece que o benefício é muito pequeno para um 
procedimento fora de norma e com alto risco de falso positivo.

-- Danton.



More information about the gter mailing list