[MASOCH-L] SPF LOCAWEB

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Tue Jul 31 08:51:16 BRT 2012 

Em 30/07/2012 13:55, Danton Nunes escreveu:
> On Mon, 30 Jul 2012, Leandro Carlos Rodrigues wrote:
>
>> Dalton, estive pensando neste final de semana sobre algumas possíveis 
>> formas de lidar com spammers que trocam de domínio para se livrar do 
>> antigo bloqueado e enviar mais spam pelo novo. Alguém já pensou que 
>> criar alguma checagem dos campos owner e ownerid do whois quando 
>> recebe uma mensagem de um domínio que nunca tinha enviado mensagem 
>> antes para seu servidor? Se forem confiáveis o bastante, podemos 
>> fazer esta checagem e criar uma lista negra de onwerid.
>
> é DaNton, mas tudo bem.
>
> humm, idéia interessante. mas qual whois, o do IP da origem (o que 
> acho meio inútil) ou o domínio no caminho de volta (mail from:)?
>

Caramba, foi mal. Então eu fiz uma pesquisa, conforme eu disse no email 
anterior, e descobri que mais de 50% dos emails considerados spam aqui 
na empresa originam-se da TDL .br. Percebi tambem que todo dominio 
criado neste TDL deve obrigatoriamente ter o campo ownerid. Então decidi 
caçar dois casos de spam que o ownerid seja identico, porém o domínio 
deja diferente. Até agora achei dois pares e deve ter muito mais. A 
idéia seria a seguinte: imagine que para cada email que recebemos 
faremos a checagem do SPF, inclusive com a modificação que você propos, 
e DKIM, caso o domínio os tenha. Caso SPF seja pass (com a alteração que 
você propos) ou o DKIM der válido, então significa que a mensagem será 
considerada "identificada", caso contrário "não identificada". A partir 
daí a mensagem passará por um divisor de águas. Caso seja considerada 
identificada, todos os métodos de bloqueio serão focados no domínio. 
Caso contrário, esses médotos serão focados no IP. No caso de ser 
considerada identificada, olha-se para o dominio e se houver histórico 
de reputação interno deste domínio toma-se medidas baseadas neste 
histórico. Caso não tenha histórico, tentamos obter este histórico 
externamente e, além de outros métodos que já usamos como DNSBL, 
poderiamos olhar para o ownerid e cruzar com um histórico de reputação 
interno. Claro que isso só funcionaria para TDL's .br, mas pelo que 
percebi é uma parcela grande dos spams para mim e deve ser para vocês 
também. No caso da mensagem ser considerada "não identificada", foca-se 
no IP e faremos basicamente a mesma coisa que para o caso anterior. Só 
que, neste caso, agente olha também para o host do IP e, se for .br, 
cruza com o ownerid do histórico de reputação interno. No caso seria as 
duas coisas que você falou só que exclusivamente um ou outro dependendo 
da mensagem ser identificada ou não. Eu estou pensando em bolar um 
fluxograma dessa parafernalha, que vai ser enorme, mas antes de começar 
quero ouvir a opinião da galera da lista.

> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list