[MASOCH-L] Adoção de SPF

[Leandro Carlos Rodrigues]

>  Claro.  Já tentou implementar SRS em um MTA de 100-500 msg/s ?  Só tem
>  implementação lerda, em perl ou python, que é apropriada só para MX
>  pequeno de 10 msg/s.  Ninguém escreveu um plugin em C, devidamente
>  testado, para integrar com postfix e exim, que implemente o SRS.
>  Agora, *verificar* o SPF e rejeitar qualquer mensagem que falhe, muita
>  gente faz mesmo sem implementar o SRS, e muito menos publicar registros
>  SPF.  Tem plugin de alta performance para verificar SPF, afinal de contas...


Henrique concordo contigo. Neste caso pensei em uma solução que talvez 
seja viável e seria assunto de outra discussão.
Como existe plugins de alta performance para verificar SPF, então seja 
mais viável fazer SRS somente quando o domínio do remetente tiver SPF.
Imagine o seguinte algoritmo: Se o MTA recebe e precisa fazer forward, 
então verifique se o domínio do remetente tem registro SPF, caso 
positivo faça SRS e repasse, senão simplesmente repasse.
Como nem todos fazem forward e poucos utilizam SPF, a incidência de SRS 
com este algorítimo seria baixíssima. Agente precisa verificar a melhor 
forma de escrever este algoritmo para não cair no mesmo erro dos 
algoritmos de SRS malfeitos que você mencionou. O algoritimo poderia ser 
escrito em C ou por script do próprio MTA. Enfim, seria uma solução 
paliativa e talvez seja o início de uma nova discussão...

>  Leandro, não entendi o reescrever o endereço do remetente, no meu entendimento o remetente não muda, no caso de um provedor de serviços, o mesmo deveria apontar do TXT dos domínios de seus clientes para seu MTA.

Anísio, o pessoal já respondeu melhor que eu responderia.

>  Mas a minha dúvida inicial era o seguinte:
>  Por que o domínio oracle.com nem sequer possui registro TXT? Por que não utiliza o domínio para envio de e-mail? Ora, faça igual a IBM, que possui um registro TXT sem nenhum MTA cadastrado. Desta forma evita que sejam enviados e-mails falsos utilizando o nome da empresa.

Anísio, agente precisa verificar se a Oracle utiliza DKIM que é uma 
tecnologia bem melhor que o SPF.
Sinceramente eu utilizaria as duas se eu fosse eles, pois nem todos os 
MTA's tem suporte ao DKIM
Aliás, estou estudando atualizar meu MTA para ter suporte ao DKIM.
Agora se eles não utilizam nem um nem outro, então a tendência é que o 
domínio deles tenha má reputação pelo munda afora.
Eu colocaria o domínio deles em lista suspeita só por não ter SPF, caso 
recebesse um email forjado com o domínio deles.

>  mas é importante deixar isso sempre bem claro: SPF não foi
>  concebido pra ser uma técnica antispam ! Quem quiser utilizá-lo como
>  tal, estará sempre fazendo por sua própria conta e risco.

Concordo com o Leonardo. O SPF deve ser utilizado para auxílio de 
ferramentas anti-spam.
Utilizar o SPF como ferramenta determinística anti-spam é o erro.

Atenciosamente,

*Leandro Carlos Rodrigues
TI - All Chemistry do Brasil Ltda.
(11) 3014-7100
*