[MASOCH-L] e-Mails "falsos" ... Provocando um pouquinho.

Rodrigo rodrigo at faculdadedecision.com.br
Mon Jun 11 14:19:31 -03 2007 

Fernando, legal cara ! Que bom que voce me chamou atenção ...
De fato, lendo em voz alta minha mensagem anterior, dá realmente a 
impressão que estou a fim de atacar o provedor Terra.

Bem, só citei o nome deste provedor porque sou *CLIENTE* dele ! Se fosse 
cliente de Locaweb, por exemplo, e este evento e seus
desdobramentos tivessem acontecido nesta condição, eu certamente citaria 
a ... Locaweb !

Voce tem toda razão quando diz que não demonstro tecnicamente ONDE há falha.

Mas, me permitam os colegas de lista esclarecer minha posição ANTES que 
os moderadores decidam
me considerar "persona-non-grata" e me banir ok !?

Fui autorizado pela direção da empresa em questão a abrir a informação, 
em anexo há mais dois cabeçalhos de e-mails que recebemos hoje.

1 - o cabeçalho completo foi publicado na lista: 
http://eng.registro.br/pipermail/masoch-l/2007-June/004694.html, nesta 
mensagem, onde houver xxx.com.br, leiam sini.com.br;
2 - se contratei um provedor para fazer hosting de meu dominio, penso 
que este deva tomar providencias para evitar que
este seja mal utilizado. Ou seja, publicar uma politica de SPF condizente.;
3 - conforme colegas da lista me auxiliaram, pesquisei via nslookup se 
ha um SPF publicado para o dominio em questão: sini.com.br.
cheguei à conclusão que, até o post DESTA mensagem, eu não tinha (ou não 
sei) como verificar se há um SPF para meu dominio, se houver, está 
permissivo demais;
4 - *não estou atacando o Terra*, estou tentando provocar uma discussão 
em torno do *assunto*: Quem deve notificar o administrador
da rede de onde partiu o spam, o CLIENTE do provedor ou o PROVEDOR ? O 
Cliente ? Por que ?

Fui autorizado pela direção da empresa em questão a abrir a informação, 
em anexo há mais dois cabeçalhos de e-mails que recebemos hoje.

Agora, me permitam conjecturar um pouco:

1 - quem é cliente do Terra sabe que não é possivel fazer uma conexão 
SMTP direta ao servidor deste, partindo de um MUA, sem
a respectiva autenticação.
2 - vejam que interessante: no segundo cabeçalho há um "Return-Path: 
<kad at sini.com.br>". Kad at sini não é um alias válido, e os servidores do 
Terra 'sabem' quais os aliases disponiveis para este dominio;
3 - pelo que examinei, Return-Path e From apontam para o mesmo dominio 
válido, acho que um registro SPF teria pouco a fazer.
3 - Pelo que entendi até agora em torno do protocolo SMTP, os e-mails em 
questão só poderiam ser entregues por um relay 
(pool-71-164-169-28.dllstx.fios.verizon.net). Nesse caso, não haviam 
verificações a fazer ?

Examinando estes cabeçalhos como uma pessoa (e não como um programa de 
computador):
- Há indicativos que possam nos levar a crer que esta mensagem não é 
legitima ?
- Seria indicado verificar à esquerda do sinal "@" se a informação é 
válida ?




Fernando Ulisses dos Santos escreveu:
> Rodrigo,
>
> Sem tomar partido, mas você tem agredido o Terra e não demonstra
> tecnicamente onde eles falharam.
>
>   

-------------- next part --------------
 # nslookup
> set q=txt
> sini.com.br
Server:         201.21.192.104
Address:        201.21.192.104#53

Non-authoritative answer:
*** Can't find sini.com.br: No answer

Authoritative answers can be found from:
sini.com.br
        origin = ns2.terraempresas.com.br
        mail addr = sysadm.terraempresas.com.br
        serial = 2007041001
        refresh = 10800
        retry = 1800
        expire = 1209600
        minimum = 86400
> server ns2.terraempresas.com.br
Default server: ns2.terraempresas.com.br
Address: 200.177.96.11#53
> set q=txt
> sini.com.br
Server:         ns2.terraempresas.com.br
Address:        200.177.96.11#53

*** Can't find sini.com.br: No answer
> server ns3.terraempresas.com.br
Default server: ns3.terraempresas.com.br
Address: 200.176.128.153#53
> set q=txt
> sini.com.br
Server:         ns3.terraempresas.com.br
Address:        200.176.128.153#53

*** Can't find sini.com.br: No answer
>
-------------- next part --------------
X-Account-Key: account2
X-UIDL: 1181409665.908088.8171,21250.candelo.hst.terra.com.br
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <figueiredo at sini.com.br>
Received: from [200.154.152.7] by candelo.hst.terra.com.br (LMTP); Sat, 09 Jun 2007
	14:21:05 -0300 (BRT)
Received: from mx1.terraempresas.com.br (mx1.terraempresas.com.br [200.154.117.72])
	by burta.hst.terra.com.br (Postfix) with ESMTP id 9B2FA1270062
	for <sini001 at terra.com.br>; Sat,  9 Jun 2007 14:21:05 -0300 (BRT)
Received-SPF: none (mx1.terraempresas.com.br: 201.80.51.128 is neither permitted nor
	denied by domain of sini.com.br) client-ip=201.80.51.128;
	envelope-from=figueiredo at sini.com.br; helo=car;
Received: from car (c9503380.bhz.virtua.com.br [201.80.51.128])
	by mx1.terraempresas.com.br (Postfix) with SMTP id 92E9033E6B
	for <figueiredo at sini.com.br>; Sat,  9 Jun 2007 14:09:41 -0300 (BRT)
From: "Luiz Fernando Carceroni" <figueiredo at sini.com.br>
Subject: Imprensa no brasil
To: figueiredo at sini.com.br
Date: Sat, 9 Jun 2007 14:20:38 -0300
X-Priority: 3
Message-Id: <20070609170941.92E9033E6B at mx1.terraempresas.com.br>
Content-Type: text/html;
X-Terra-AV: McAfee VirusScan/5.1.00/5049
MIME-Version: 1.0
Status: O

================================================================================

X-Account-Key: account2
X-UIDL: 1181444176.882322.13765,2698.camenana.hst.terra.com.br
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <kad at sini.com.br>
Received: from [200.154.152.6] by camenana.hst.terra.com.br (LMTP); Sat, 09 Jun 2007
	23:56:16 -0300 (BRT)
Received: from mx4.terraempresas.com.br (mx4.terraempresas.com.br [200.154.117.70])
	by buraja.hst.terra.com.br (Postfix) with ESMTP id A147E1E100CC
	for <sini001 at terra.com.br>; Sat,  9 Jun 2007 23:56:16 -0300 (BRT)
Received-SPF: none (mx4.terraempresas.com.br: 71.164.169.28 is neither permitted nor
	denied by domain of sini.com.br) client-ip=71.164.169.28;
	envelope-from=kad at sini.com.br;
	helo=pool-71-164-169-28.dllstx.fios.verizon.net;
Received: from pool-71-164-169-28.dllstx.fios.verizon.net
	(pool-71-164-169-28.dllstx.fios.verizon.net [71.164.169.28])
	by mx4.terraempresas.com.br (Postfix) with SMTP id 1DF7E5C011
	for <comercial at sini.com.br>; Sat,  9 Jun 2007 23:48:02 -0300 (BRT)
X-Original-To: comercial at sini.com.br
Delivered-To: comercial at sini.com.br
Received: from [71.164.169.28] (port=44908
	helo=pool-71-164-169-28.dllstx.fios.verizon.net)        by
	srv3-sao.sao.terraempresas.com.br with esmtp         id 826567-826567-55       
	for comercial at sini.com.br; Sat, 09 Jun 2007 21:56:10 --600 (EET)
Message-ID: <d5d001c7aae0$01c7aae0$1ca9a447 at sini.com.br>
From: "Terrence" <kad at sini.com.br>
To: "Dollie" <comercial at sini.com.br>
Subject: pc programs
Date: Sat, 09 Jun 2007 21:56:10 --600 (EET)
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Content-Type: multipart/alternative;	boundary="----=_NextPart_001_D5CB_01C7AB0A.E67C58C0"
X-Terra-AV: McAfee VirusScan/5.1.00/5049
MIME-Version: 1.0
Status: O

More information about the masoch-l mailing list