[GTER] Envio de mensagens (e-mail) "spoofando" endereços.

[Patrick Tracanelli]

Em 26/09/2012, às 04:24, Fernando Bambino escreveu:

> Senhores,
> 
> Sou um assíduo leitor desta lista. Várias discussões ajudaram-me muito no
> entendimento de várias questões relacionadas à internet.
> 
> Gostaria de aproveitar a oportunidadem para submeter-lhes uma questão:
> 
> Um determinado desenvolvedor na corporação onde Trabalho está enviado
> e-mails de notificação, que atingem alguns usuários fora desta, "spoofando"
> endereços externos, ou seja, endereços de e-mail de pessoas que completaram
> determinado formulário disponível na internet.
> 
> Os destinatários destas mensagens são normalmente os mesmos (uma conta no
> GMAIL, uma na terra.com.br e outro num domínio do Governo Federal).
> 
> Os remententes "spoofados" podem ser de qualquer domínio (hotmail.com,
> gmail.com, ...).
> 
> Acredito que esta prática viole as práticas recomendadas pelo NIC.BR, bem
> como outras (SPF, por exemplo) na internet.
> 
> Qual seria a visão deste grupo para esta ocorrência?
> 
> Agradeço o apoio,
> 
> Fernando Bambino

"Why so fragile? Most Internet protocols were created by the age the network was run by Gentlemen" -- Eric Allman, 1987, U.C. Berkeley

A citação acima do criado do Sendmail, Syslog e outros padrões pode ser "inocente" hoje em dia, mas ele disse isso em 87, 10 anos depois de se formar em Berkeley onde criou parte dessas coisas. Se em 87 os protocolos já estavam sendo considerados frágeis, que dirá em 2012.

Pois é, se hoje a rede não é mais "rodada" por cavalheiros, ai começa minha primeira impressão sobre esse tipo de prática. Tecnicamente possível, moral e eticamente deploráveis.

Sendo uma prática inadequada, uma afronta aos bons costumes da rede, ela deve ser antes de mais nada discutida internamente na empresa. A empresa sabe dessa prática? Ela aprova? Ela *precisa* disso para desempenhar suas funções e prestar seu serviço fim?

Porque as respostas iniciais vão definir a postura da empresa no mercado. E se essas práticas são internamente desconhecidas ou não aprovadas como aparenta ser ao menos por você, tem que ser revista. Se forem práticas conhecidas e aceitas será o mundo contra essa empresa, numa briga com poucas estratégias técnicas realmente funcionais.

Se os domínios usam SPF, DK, e afins, ótimo, o mundo tem como tentar se defender. Mesmo a maioria preferindo simplesmente não anunciar SPF com "-all" e tendo se tornado uma prática comum (e frágil) apenas classificar mensagens com "~all" ao invés de já tratá-las no SMTP. Até aceitar assinatura DK invalida e simplesmente usar como classificador de "probabilidade" de Junk mail.

Por último e mais inocente e cheia de consequências das práticas, que é controle por reputação IP ou bloqueio explícito por IP (que podem variar, iniciando um gato-e-rato).

Enfim, acho que não tem muita "visão". Pra mim, pessoalmente, acho uma pena que existam empresas que façam isso e torço pra que elas saiam do mercado! Ou entendam e reavaliem o que estão fazendo e o quão "desfavor" é a prática pra toda a comunidade Internet e deixem de agir dessa forma, reveja seus processos e estratégias de negócio Internet.

Jogar papel na rua pela janela do carro ou urinar em vias públicas não precisaria de lei e punição numa sociedade minimamente civilizada. 

SPF e DK não são obrigatórios, nem o registro em seus DNS nem a validação no MTA destino, apesar de eu achar que deveria haver uma "recomendação formal" como melhor prática. Algo próximo ao que o "NIST" faz nos EUA, apesar do NIST recomendar as práticas a agencias e orgaos do governo acaba se tornando uma referencia, um "de fact standard" de melhor prática.

Recomendações como a gerência da porta 25 que o CGI/NIC/antiSpam publicaram por exemplo é um pequeno exemplo de uma pequena prática fácil que quando bem discutida e promovida gera bons resultados, e quando não gera por quem simplesmente prefere não fazer, pode ser usado como argumento por outros como uma boa prática que deveria ser cumprida.

Alguns levam mais a sério e radicalizam, assumem recomendações e melhores práticas como se fossem atos normativos imperativos hehehe, eu acho bom, assim cumprem!

Ou seja boa parte dessas práticas (SPF, DK) são previstas no Antispam.Br. Mas não diz de forma explícita que "coibir ou dificultar" práticas de Spoof de remetente IP (ou práticas de Spoof IP que seja) deve estar nas funções de cada ISP e cada empresa que responsavelmente deseja participar da Internet. Básico demais, tão básico quanto não deixar RELAY aberto, proxy aberto, DNS recursivo publico, mas as vezes o básico precisa ser dito e exposto nem q seja pra ser usado de referência.

Agora existe uma margem até pra risco, perigo.

Quando vejo políticos como o Belo Horizontino Eduardo Azeredo e seu assessor Portugal (que alias deixaram de participar conosco de discussões técnicas acerca de sua proposta de lei - fica o convite pro BHack 2013 ;-) querendo regular essas práticas "imorais" acima de tudo, com projetos de leis pouco discutidos, ou ainda que discutidos com discussões pouco aplicadas nas revisões do PL. 

Enfim vejo algumas más práticas comuns na Internet como um vetor de risco pra vontade de alguns de legislar a respeito, quando na verdade combater, educar, indicar e definir práticas deveriam ser o caminho mais trabalhado.

E o pior é quando realmente boas iniciativas como o Marco Civil não tem toda essa "pressa" em tramitar (e pior, como o que anda acontecendo, mas não cabe no tema desse e-mail).

Ou seja pra mim além de tudo, além de deplorável, inadequada e imoral, a prática em questão ainda explora vulnerabilidades técnicas e é tão irritante que expõe a vulnerabilidades outras como jurídicas - "eu daria de tudo pra uma lei que criminalizasse esses spam e e-mails forjados" alguns poderiam dizer. Ai alguns poderiam aproveitar o apelo popular, a irritação de quem recebe esse tipo de e-mail para legislar escrevendo qualquer coisa q com a devida motivação política poderia perigosamente ser aprovado numa manobra, ou na surdina, e de repente outros atos simples do dia-a-dia como o "forward" de um e-mail recebeido em um servidor intermediário ser considerado também prática de forjar e-mail, já que não vem de um IP "previsto ou autorizado", tipicamente recursos convenientes mais frágeis introduzidos pela RFC 1123 por exemplo - vide o chuncho - não no sentido bárbaro - SRS pra amenizar conseqüências do SPF - verdadeira gambi).



--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"