[GTER] Spamhaus BGP feed (BGPf) - Alguém usa ?

Henrique de Moraes Holschuh hmh at hmh.eng.br
Sun Dec 29 13:41:18 -02 2013


On Sun, 29 Dec 2013, Francisco Neto wrote:
> Alguém aqui assina o serviço ? Tem alguma opinião sobre ?

As feeds de RBL/sRBL da SpamHaus funcionam, e funcionam bem.  Mas não são
suficientes por si só, vai precisar de algumas outras e de um engine
antispam que não seja tudo-ou-nada (ou seja, do spamassassin, dspam, etc).

Agora, se vai pagar pelas feeds, algumas delas se prestam à rejeição
imediata de conexão TCP.  Para essas, coloque elas como a primeira linha de
frente e em modo "rejeite logo e não teste as outras RBLs", por dois
motivos:

1. Diminuir a carga nas feeds comunitárias dos outros serviços de RBL;

2. Ter uma medida real da eficiência das listas da spamhaus no seu caso.

As feeds de BGP pegam muito pouca coisa, mas em geral você vai ficar muito
agradecido delas estarem lá se elas pegarem qualquer coisa, já que o que
elas bloqueiam é quase sempre atividade criminosa.

Nunca usei feeds de whitelist pra nada, mas se fosse usar, usaria só para
furar o greylisting: fazer greylisting de servidor de email de verdade (que
irá fazer o retry) não vale à pena: é piorar a qualidade do serviço para ter
muito, muito pouco retorno (quase *nunca* um greylisting vai criar uma
janela suficiente para um filtro anti-spam ser atualizado e evitar uma
spamrun).

Sob a feed "DROP" via BGP: implementar isso sem filtragem é dar permissão a
um terceiro para derrubar sua conectividade para quem ele quiser, e é o
mesmo problema da utilização de feeds BGP para bloqueio de bogons.  A lista
DROP possui várias /16 listadas.

Essas feeds com rotas para descarte (DROP, Cymru bogons) são verdadeiras
Internet kill switches, e podem colocar um prefixo no limbo para uma fração
muito significativa da rede.  Imagina o estrago se alguém conseguir acesso à
base de dados delas e acrescentar prefixos de alguma vítima lá?

No caso da bogons, evitar a potencial kill-switch é fácil já que não é para
aparecerem bogons novos quase nunca: adiciona a lista inteira como filtro
accept das rotas de descarte, rejeita qualquer outro prefixo (assim rotas de
descarte "rogues" não serão aceitas).  Neste modo de funcionamento, a feed
serve para *remover* prefixos da lista de bogons (ou seja, parar de
descartar) em tempo real, somente.  Atualiza o filtro uma vez por semana ou
mês, que é suficiente.

Dá para fazer o mesmo com a DROP, mas talvez exiga verificações frequentes
(automatizadas, claro -- um wget da lista via http + "diff -u" mandando
email se o diff não estiver vazio, resolve!) uma vez a cada 12h.

-- 
  "One disk to rule them all, One disk to find them. One disk to bring
  them all and in the darkness grind them. In the Land of Redmond
  where the shadows lie." -- The Silicon Valley Tarot
  Henrique Holschuh



More information about the gter mailing list