[GTER] Envio de mensagens (e-mail) "spoofando" endereços.

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Thu Sep 27 11:28:05 -03 2012


Em 26/09/2012, às 14:07, Marcio Merlone escreveu:

> Em 26-09-2012 13:26, Patrick Tracanelli escreveu:
>> Em 26/09/2012, às 04:24, Fernando Bambino escreveu:
>>> Um determinado desenvolvedor na corporação onde Trabalho está enviado
>>> e-mails de notificação, que atingem alguns usuários fora desta, "spoofando"
>>> endereços externos, ou seja, endereços de e-mail de pessoas que completaram
>>> determinado formulário disponível na internet.
>> Pois é, se hoje a rede não é mais "rodada" por cavalheiros, ai começa minha primeira impressão sobre esse tipo de prática. Tecnicamente possível, moral e eticamente deploráveis.
>> 
>> Sendo uma prática inadequada, uma afronta aos bons costumes da rede, (...)
> 
> hhhmmm.... acho que levaram a estória pelo lado errado (por trás?). Existe uso questionavelmente legítimo para isto. Imagine que eu faça um site de cartões virtuais, fora da rede do Google. E um usuário do Google @gmail.com resolve enviar um cartão virtual pro aniversário da avó. O remetente do cartão, que será enviado por email pelo meu servidor, fora da rede do Google, vai ser @gmail.com, mesmo que o SPF e a Dilma digam que não pode. Eu sei, não preciso usar o @gmail.com no remetente, etc, mas é só pra defender o ponto. E se o servidor da avó vai aceitar (SPF?) é outra questão. Existem N outros exemplos em que isto pode ser (apesar de questionável) legítimo.
> 
> Parece a reação do pessoal quando chega um e-mail com o assunto "Ajuda com servidor de mail marketing"... :)
> 

São coisas distintas.

Uma coisa é o que é usado no Envelope Sender, outra coisa é o que é usado nos headers.

Você pode ter uma sessão SMTP saudável que diz:

EHLO smtpout.cartaovirtual.com.br
MAIL FROM: <cartao at cartaovirtual.com.br>
RCPT TO: <destino at destino.com.br>
DATA
Subject: Te amo Vovoh
Sender: "Cartao Virtual" <cartao at cartaovirtual.com.br>
From: "Minha vo" <minhavo at gmail.com>
To: "Destinatario" <destino at destino.com.br>
(...)

.

A pratica acima não spoofa o remetente, quem recebe "ve" o From indicado, o header Sender ainda alivia a prática aparentemente duvidosa de ter um remetente no envelope-sender e outro no header From, de acordo com a seção 3.6.2 da RFC2822.

Ou seja a prática legítima tem seu caminho correto.

Tecnicamente correto, ja que o remetente testado no envelope-sender será o domínio que realmente está enviando a mensagem através daquele endereço IP. Não quebra SPF, por exemplo. Da pra assinar com DK, etc.

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"




More information about the gter mailing list