[MASOCH-L] IP sem reverso na MTA: bloquear ou n ão ?

MARLON BORBA mborba at trf3.gov.br
Wed Jan 17 09:16:40 BRST 2007 

IMHO verificação de reversos não é suficiente. Digamos que a Telephonica, a Telemar ou a BrT tenham um acesso de bom-senso (improvável, mas não impossível) e resolvam implementar DNS reverso para os IPs dinâmicos dos ADSLs, obedecendo aos ditames das RFCs. Bingo, seu filtro deixará passar mensagens vindas desses endereços. 

Implementarei, no TRF, nesta ordem, "greylisting", SPF e (se possível) "domain-keys". Essa tríade eliminará boa parte dos "spams", ao preço de alguns usuários de ADSLs corporativos (Speedy Business e congêneres) que, se não constituírem MX autorizados para o domínio do remetente, não serão bem-vindos nos nossos servidores.

Para mim, o retorno obtido em produtividade do usuário (que deixa de ser incomodado pelos detritos virtuais) compensa as reclamações dos ADSLs. Até pensei em implementar uma sacristia virtual no Second Life para atender a esses reclamantes (com direito a bispo eletrônico paramentado!).







Abraços,

Marlon Borba, CISSP
Técnico Judiciário - Segurança da Informação
TRF 3ª Região
(11) 3012-1683
--
Segurança é um processo, não um produto.
-- Bruce Schneier
--
>>> antoniocarlospina at gmail.com 01/17/07 8:39 AM >>>
Rapaz, o falso positivo para isso continua imenso. Até uma empresa de
consultoria de segurança que conheci ano passado estava sem o reverso (e por
isso caindo na greylist). Eu uso a Greylist para atrasar e-mails sem reverso
mas não bloqueio. Ainda não está dando não.

Quanto a reverso "certíssimo" que você diz, esse é o único reverso válido,
já que se não fosse a verificação direta eu poderia colocar um reverso no
meu IP como "mx.terra.com.br" por exemplo e isso seria acolhido pelo
servidor destino :-)

Imho, claro.

Abs.


Em 17/01/07, Leonardo Rodrigues Magalhães <leolistas at solutti.com.br>
escreveu:
>
>
>    Olá galera,
>
>    Gostaria de fazer uma 'consulta pública' com a turma que administra
> grandes servidores de email, tanto de empresas como provedores.
>
>    Desde quando comecei a brigar pesado com SPAM, a uns 4-5 anos atrás,
> sempre li a recomendação de bloquear IPs que não possuiam reverso na MTA
> ... ou mais ainda, bloquear quem não tinha o reverso certíssimo (IP
> resolve pra nome, esse nome resolve de volta pro IP). Tentei implementar
> em alguns servidores menores, porém por ser o 'elo fraco da corrente',
> acabei tendo que ceder nos primeiros problemas. Naquelas épocas remotas,
> a preocupação em manter os reversos devidamente configurados não era tão
> grande.
>
>    Porém, muito tempo se passou, muita coisa mudou e eu ainda continuo
> não bloqueando IPs sem reverso nas minhas MTAs.
>
>    De uns tempos pra cá, os principais provedores brasileiros (UOL,
> Terra, entre outros) começaram a implementar regras de bloqueio de IPs
> sem reverso, finalmente obrigando a turma a tomar mais cuidado com o
> cadastro dos reversos, já que eles eram os 'elos fortes da corrente'. Os
> elos fracos, os provedores/servidores menores, foram finalmente
> obrigados a se adaptar às regras impostas.
>
>    Apesar da maioria dessas mensagens morrerem em outros mecanismos
> antispam que utilizo (greylist, spamassassin, etc etc), gostaria de
> tentar recusá-las em MTA, por ser uma rejeição bem mais 'leve' do que se
> chegar nos antispams posteriores, tipo spamassassim da vida.
>
>    A minha pergunta é .... quem de vocês implementa política de
> bloqueio total, na MTA, de IPs que não possuem reverso cadastrado ou
> reverso perfeito (IP->nome->IP) ??? Para os que implementam .... a
> quantidade de falsos positivos por essas regras continuam altos ou estão
> aceitáveis ? Para os que não implementam .... vocês tiveram experiência
> recente de tentativa de implementar e tiveram que voltar atrás ?
>
>    Desde já, agradeço a atenção de todos e às respostas que espero
> receber :)
>
> --
>
>
>        Atenciosamente / Sincerily,
>        Leonardo Rodrigues
>        Solutti Tecnologia
>        http://www.solutti.com.br
>
>        Minha armadilha de SPAM, NÃO mandem email
>        gertrudes at solutti.com.br
>        My SPAMTRAP, do not email it
>
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list