[MASOCH-L] SPF LOCAWEB

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Fri Jul 27 11:32:04 BRT 2012 

Em 27/07/2012 11:10, Henrique de Moraes Holschuh escreveu:
> On 27-07-2012 10:17, Leandro Carlos Rodrigues wrote:
>> Certo. Mesmo assim quem te impede que forjar uma mensagem de erro no
>>  envelope e no cabeçalho e no lugar do corpo da mensagem colocar
>> propaganda ou golpes?
>
> Se o HMAC que seria correspondente ao MTA durante o caminho de retorno
> não valida, você descarta a DSN.  O HMAC é composto utilizando detalhes
> de conhecimento privado do MTA, e é difícil de ser forjado.  Seria
> incluído no cabeçalho received, e as regras para DSN ajustadas se
> necessário para garantir que estes cabeçalhos devem obrigatoriamente
> estar presentes na DSN.  Projetar o HMAC não é trabalho para amador.
>

Tudo bem. Mas, além do HMAC ser difícil de implementar assim como você 
disse, ainda sim você precisa receber o cabeçalho, que está concatenado 
com corpo, para checar isso. E pela forma como exergo, o desempenho para 
checar isso é ruim. Não seria mais fácil descartar a mensagem assim que 
o MAIL FROM fosse passado, caso quele dominio estivesse em lista negra 
interna ou externa? Ou se tratasse de email forjado, você rejeitar no 
momento que é passado a assinatura DKIM (isso no protocolo modificado 
que eu propus)?
Lembre-se que na forma proposta, não há necessidade de você olhar para o 
IP pois a tecnologia DKIM garante que o dono do domínio gerou tal 
mensagem. Os DNSBL passariam a se orientar pelo dominio e não mais pelo 
IP. Se bem que isso não significa que você não iria fazer checagem de IP 
e sim que isso seria algo complementar, caso você achasse conveniente.

> E se quiser, pode remover da DSN a parte que não é mensagem de erro e
> cabeçalhos (se bem que isso provavelmente viola de leve o RFC das DSN, e
> torna as DSNs meio inúteis para a maioria, devido aos lixos de MUA em
> uso, que não fazem nem metade do que deveriam para associar DSNs com as
> mensagens que as originaram).
>
>> Além de problemas de segurança, há uma falha grave no entendimento
>> destas mensagens, quando legítimas, pois a grande maioria de
>> servidores de email usa MTA's em lingua inglesa, que para um
>> brasileiro médio é um problema grave de entendimento fazendo com que,
>> na maioria das vezes a mensagem de erro seja ignorada por ele.
>
> Isso é incompetência por parte de quem escreve MUA.  DSNs tem códigos
> estendidos de erro que deveriam ser processados de forma inteligente
> pelos MUA para gerar orientação ao usuário, mas não são.  E o tecnês em
> inglês o usuário típico não entenderia mesmo em português, está lá para
> uso do suporte.
>

More information about the masoch-l mailing list