[MASOCH-L] IP sem reverso na MTA: bloquear ou n ão ?

Thomas Britis thomas at tcnet.com.br
Wed Jan 17 09:26:17 BRST 2007 

Eu acho mais interessante ter o SPF antes do greylist. Economiza-se uma 
boa quantia de carga do servidor com isso.

MARLON BORBA wrote:
> IMHO verificação de reversos não é suficiente. Digamos que a Telephonica, a Telemar ou a BrT tenham um acesso de bom-senso (improvável, mas não impossível) e resolvam implementar DNS reverso para os IPs dinâmicos dos ADSLs, obedecendo aos ditames das RFCs. Bingo, seu filtro deixará passar mensagens vindas desses endereços. 
> 
> Implementarei, no TRF, nesta ordem, "greylisting", SPF e (se possível) "domain-keys". Essa tríade eliminará boa parte dos "spams", ao preço de alguns usuários de ADSLs corporativos (Speedy Business e congêneres) que, se não constituírem MX autorizados para o domínio do remetente, não serão bem-vindos nos nossos servidores.
> 
> Para mim, o retorno obtido em produtividade do usuário (que deixa de ser incomodado pelos detritos virtuais) compensa as reclamações dos ADSLs. Até pensei em implementar uma sacristia virtual no Second Life para atender a esses reclamantes (com direito a bispo eletrônico paramentado!).
> 
> 
> 
> 
> 
> 
> 
> Abraços,
> 
> Marlon Borba, CISSP
> Técnico Judiciário - Segurança da Informação
> TRF 3ª Região
> (11) 3012-1683
> --
> Segurança é um processo, não um produto.
> -- Bruce Schneier
> --
> 
>>>>antoniocarlospina at gmail.com 01/17/07 8:39 AM >>>
> 
> Rapaz, o falso positivo para isso continua imenso. Até uma empresa de
> consultoria de segurança que conheci ano passado estava sem o reverso (e por
> isso caindo na greylist). Eu uso a Greylist para atrasar e-mails sem reverso
> mas não bloqueio. Ainda não está dando não.
> 
> Quanto a reverso "certíssimo" que você diz, esse é o único reverso válido,
> já que se não fosse a verificação direta eu poderia colocar um reverso no
> meu IP como "mx.terra.com.br" por exemplo e isso seria acolhido pelo
> servidor destino :-)
> 
> Imho, claro.
> 
> Abs.
> 
> 
> Em 17/01/07, Leonardo Rodrigues Magalhães <leolistas at solutti.com.br>
> escreveu:
> 
>>
>>   Olá galera,
>>
>>   Gostaria de fazer uma 'consulta pública' com a turma que administra
>>grandes servidores de email, tanto de empresas como provedores.
>>
>>   Desde quando comecei a brigar pesado com SPAM, a uns 4-5 anos atrás,
>>sempre li a recomendação de bloquear IPs que não possuiam reverso na MTA
>>... ou mais ainda, bloquear quem não tinha o reverso certíssimo (IP
>>resolve pra nome, esse nome resolve de volta pro IP). Tentei implementar
>>em alguns servidores menores, porém por ser o 'elo fraco da corrente',
>>acabei tendo que ceder nos primeiros problemas. Naquelas épocas remotas,
>>a preocupação em manter os reversos devidamente configurados não era tão
>>grande.
>>
>>   Porém, muito tempo se passou, muita coisa mudou e eu ainda continuo
>>não bloqueando IPs sem reverso nas minhas MTAs.
>>
>>   De uns tempos pra cá, os principais provedores brasileiros (UOL,
>>Terra, entre outros) começaram a implementar regras de bloqueio de IPs
>>sem reverso, finalmente obrigando a turma a tomar mais cuidado com o
>>cadastro dos reversos, já que eles eram os 'elos fortes da corrente'. Os
>>elos fracos, os provedores/servidores menores, foram finalmente
>>obrigados a se adaptar às regras impostas.
>>
>>   Apesar da maioria dessas mensagens morrerem em outros mecanismos
>>antispam que utilizo (greylist, spamassassin, etc etc), gostaria de
>>tentar recusá-las em MTA, por ser uma rejeição bem mais 'leve' do que se
>>chegar nos antispams posteriores, tipo spamassassim da vida.
>>
>>   A minha pergunta é .... quem de vocês implementa política de
>>bloqueio total, na MTA, de IPs que não possuem reverso cadastrado ou
>>reverso perfeito (IP->nome->IP) ??? Para os que implementam .... a
>>quantidade de falsos positivos por essas regras continuam altos ou estão
>>aceitáveis ? Para os que não implementam .... vocês tiveram experiência
>>recente de tentativa de implementar e tiveram que voltar atrás ?
>>
>>   Desde já, agradeço a atenção de todos e às respostas que espero
>>receber :)
>>
>>--
>>
>>
>>       Atenciosamente / Sincerily,
>>       Leonardo Rodrigues
>>       Solutti Tecnologia
>>       http://www.solutti.com.br
>>
>>       Minha armadilha de SPAM, NÃO mandem email
>>       gertrudes at solutti.com.br
>>       My SPAMTRAP, do not email it
>>
>>
>>
>>__
>>masoch-l list
>>https://eng.registro.br/mailman/listinfo/masoch-l
>>
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
> 
> 

-- 
Thomas Storino Britis
TCNet Informatica e Telecomunicacoes LTDA

More information about the masoch-l mailing list