[MASOCH-L] "HELO" q-mail

Lao DanTong danton at inexo.com.br
Tue Aug 30 10:20:54 BRT 2005 

On Tue, 30 Aug 2005 david at infonet.com.br wrote:

>   Prezados usuarios,
>
>   Li ha um tempo atraz um artigo referente ao bloqueio de remetentes que auto se
> identificam como sendo o proprio servidor que está recebendo a mensagem, por exemplo,
> vejam a amostragem desse e-mail de spam que recebi:
>
> Received: from unknown (HELO 200.223.180.11) ([220.77.151.214])
>          (envelope-sender <anknlbls at yahoo.com>)
>
>
>   O host '200.223.180.11' é o ip do meu servidor de e-mail. No artigo era sugerido o
> bloqueio dessa tecnica a fim de se reduzir o número de spams. Infelizmente não consegui
> encontrar mais esse artigo, alguém já leu algo a respeito? ou alguem já usa essse tipo de
> bloqueio?

bloquear essa forma de HELO/EHLO vai contra a RFC2821, definição do 
protocolo SMTP.

4.1.1.1  Extended HELLO (EHLO) or HELLO (HELO)

    These commands are used to identify the SMTP client to the SMTP
    server.  The argument field contains the fully-qualified domain name
    of the SMTP client if one is available.  In situations in which the
    SMTP client system does not have a meaningful domain name (e.g., when
    its address is dynamically allocated and no reverse mapping record is
    available), the client SHOULD send an address literal (see section
    4.1.3), optionally followed by information that will help to identify
    the client system. ...

entretanto a sintaxe 'HELO 200.223.180.11' está errada, pois a mesma 
norma técnica diz adiante:

4.1.3 Address Literals

    Sometimes a host is not known to the domain name system and
    communication (and, in particular, communication to report and repair
    the error) is blocked.  To bypass this barrier a special literal form
    of the address is allowed as an alternative to a domain name.  For
    IPv4 addresses, this form uses four small decimal integers separated
    by dots and enclosed by brackets such as [123.255.37.2], which
    indicates an (IPv4) Internet Address in sequence-of-octets form.

deveria ser 'HELO [200.223.180.11]'

Eu ainda não estou convencido de que seja proveitoso bloquear o 
recebimento de mensagens com base no que vem no HELO por dois motivos: há 
clientes quebrados que não geram um HELO decente e é fácil para o spammer 
criar um HELO palatável para o servidor. Entretanto, quando o cara se 
identifica com o endereço IP do próprio servidor, ainda mais com sintaxe 
incorreta, faz bastante sentido bloquear, porque é claramente mentira, a 
menos que o cliente esteja rodando na mesma máquina que o servidor.

More information about the masoch-l mailing list