[MASOCH-L] e-Mails "falsos" ... Provocando um pouquinho.

Jeronimo Zucco jczucco at ucs.br
Mon Jun 11 14:27:41 -03 2007 

    Apesar de ser cliente do terra, você deve ser o responsável pelo DNS 
do domínio sini.com.br. Com esse teste simples:

$ host -t txt sini.com.br

Você verá que não retorna nada. Ou seja, você não publicou o seu 
registro SPF numa entrada TXT do DNS. O terra não tem como adivinhar 
isso, e bloquear, e o responsável pelo domínio que deve dizer quais são 
os hosts autorizados a enviar e-mails pelo domínio X.y.z

-- 
Jeronimo Zucco
LPIC-1 Linux Professional Institute Certified
Núcleo de Processamento de Dados
Universidade de Caxias do Sul

http://jczucco.blogspot.com



Rodrigo escreveu:
> Fernando, legal cara ! Que bom que voce me chamou atenção ...
> De fato, lendo em voz alta minha mensagem anterior, dá realmente a 
> impressão que estou a fim de atacar o provedor Terra.
>
> Bem, só citei o nome deste provedor porque sou *CLIENTE* dele ! Se 
> fosse cliente de Locaweb, por exemplo, e este evento e seus
> desdobramentos tivessem acontecido nesta condição, eu certamente 
> citaria a ... Locaweb !
>
> Voce tem toda razão quando diz que não demonstro tecnicamente ONDE há 
> falha.
>
> Mas, me permitam os colegas de lista esclarecer minha posição ANTES 
> que os moderadores decidam
> me considerar "persona-non-grata" e me banir ok !?
>
> Fui autorizado pela direção da empresa em questão a abrir a informação,
> em anexo há mais dois cabeçalhos de e-mails que recebemos hoje.
>
> 1 - o cabeçalho completo foi publicado na lista: 
> http://eng.registro.br/pipermail/masoch-l/2007-June/004694.html, nesta 
> mensagem, onde houver xxx.com.br, leiam sini.com.br;
> 2 - se contratei um provedor para fazer hosting de meu dominio, penso 
> que este deva tomar providencias para evitar que
> este seja mal utilizado. Ou seja, publicar uma politica de SPF 
> condizente.;
> 3 - conforme colegas da lista me auxiliaram, pesquisei via nslookup se 
> ha um SPF publicado para o dominio em questão: sini.com.br.
> cheguei à conclusão que, até o post DESTA mensagem, eu não tinha (ou 
> não sei) como verificar se há um SPF para meu dominio, se houver, está 
> permissivo demais;
> 4 - *não estou atacando o Terra*, estou tentando provocar uma 
> discussão em torno do *assunto*: Quem deve notificar o administrador
> da rede de onde partiu o spam, o CLIENTE do provedor ou o PROVEDOR ? O 
> Cliente ? Por que ?
>
> Fui autorizado pela direção da empresa em questão a abrir a 
> informação, em anexo há mais dois cabeçalhos de e-mails que recebemos 
> hoje.
>
> Agora, me permitam conjecturar um pouco:
>
> 1 - quem é cliente do Terra sabe que não é possivel fazer uma conexão 
> SMTP direta ao servidor deste, partindo de um MUA, sem
> a respectiva autenticação.
> 2 - vejam que interessante: no segundo cabeçalho há um "Return-Path: 
> <kad at sini.com.br>". Kad at sini não é um alias válido, e os servidores do 
> Terra 'sabem' quais os aliases disponiveis para este dominio;
> 3 - pelo que examinei, Return-Path e From apontam para o mesmo dominio 
> válido, acho que um registro SPF teria pouco a fazer.
> 3 - Pelo que entendi até agora em torno do protocolo SMTP, os e-mails 
> em questão só poderiam ser entregues por um relay 
> (pool-71-164-169-28.dllstx.fios.verizon.net). Nesse caso, não haviam 
> verificações a fazer ?
>
> Examinando estes cabeçalhos como uma pessoa (e não como um programa de 
> computador):
> - Há indicativos que possam nos levar a crer que esta mensagem não é 
> legitima ?
> - Seria indicado verificar à esquerda do sinal "@" se a informação é 
> válida ?
>
>
>
>
> Fernando Ulisses dos Santos escreveu:
>> Rodrigo,
>>
>> Sem tomar partido, mas você tem agredido o Terra e não demonstra
>> tecnicamente onde eles falharam.
>>
>>   
>
> ------------------------------------------------------------------------
>
>  # nslookup
>   
>> set q=txt
>> sini.com.br
>>     
> Server:         201.21.192.104
> Address:        201.21.192.104#53
>
> Non-authoritative answer:
> *** Can't find sini.com.br: No answer
>
> Authoritative answers can be found from:
> sini.com.br
>         origin = ns2.terraempresas.com.br
>         mail addr = sysadm.terraempresas.com.br
>         serial = 2007041001
>         refresh = 10800
>         retry = 1800
>         expire = 1209600
>         minimum = 86400
>   
>> server ns2.terraempresas.com.br
>>     
> Default server: ns2.terraempresas.com.br
> Address: 200.177.96.11#53
>   
>> set q=txt
>> sini.com.br
>>     
> Server:         ns2.terraempresas.com.br
> Address:        200.177.96.11#53
>
> *** Can't find sini.com.br: No answer
>   
>> server ns3.terraempresas.com.br
>>     
> Default server: ns3.terraempresas.com.br
> Address: 200.176.128.153#53
>   
>> set q=txt
>> sini.com.br
>>     
> Server:         ns3.terraempresas.com.br
> Address:        200.176.128.153#53
>
>

More information about the masoch-l mailing list