[MASOCH-L] Filtragem por Owner-ID

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Wed Aug 29 12:41:43 BRT 2012 

Pessoal,

Conforme foi discutido aqui a algumas semanas, eu acabei de fazer aquele 
levantamento completo de todo o histórico de mensagens recebidas aqui na 
empresa para mensurar o quanto este campo ownerid do whois do NIC liga o 
IP, host ou domínio a multiplos IP's, hosts ou dominios.

O critério que utilizei foi o seguinte:

 1. Para cada mensagem recebida, é determinado apenas uma variavel
    "responsavel";
 2. Checa-se se o IP é do Brasil, e se for o caso, extrai o ownerid
    deste IP e atribui na variável "responsavel";
 3. Checa-se se o host tem a TDL br, e se for o caso, extrai o ownerid
    deste host e atribui na variável "responsavel";
 4. Checa-se se o dominio do remetente tem a TDL br, e somente se o SPF
    da mensagem for "pass" ou o DKIM for valido, extrai o ownerid deste
    domínio e atribui na variável "responsavel";

Claro que tudo isso utilizando cache.

A idéia de sobrepor esta variável "responsavel" é determinar graus de 
responsabilidade pela geração da mensagem. No caso, se uma mensagem 
tiver SPF pass ou DKIM válido, significa que o dono daquele domínio do 
rementente se responsabiliza pela mensagem. Se não tiver, a 
responsabilidade cai para o dono do host ou IP, nesta ordem. Com este 
procedimento, espera-se que cada mensagem tenha apenas um responsavel.

Aplicando esta regra no historico de todas as mensagens, consegui 
elaborar uma tabela onde são mostradas várias informações agrupadas por 
ownerid. Esta tabela pode ser baixada em 
http://allchem.allchemistry.com.br/email.ods. Cada coluna IP's, Host e 
Dominio, são as contagens de identificações para cada um deles com 
aquele ownerid. Tem vários casos que o mesmo ownerid é referenciado 
tanto para IP e host quanto para domínio e isso é muito interessante 
pois aparenta que alguns spammers trocam não só de domínio, como 
achávamos, como também trocam de host e IP para burlar nossos filtros. 
Os registros desta tabela são aqueles ownerids que apresentaram mais de 
50% de envio de spam.

Gostaria que discutissem sobre estes dados.

Atenciosamente,

*Leandro Carlos Rodrigues
TI - All Chemistry do Brasil Ltda.
(11) 3014-7100
***

More information about the masoch-l mailing list