[MASOCH-L] Reverso gmail ipv6

Danton Nunes danton.nunes at inexo.com.br
Wed Oct 8 11:29:43 BRT 2014 

On Wed, 8 Oct 2014, Leandro Carlos Rodrigues wrote:

> Mesmo você explicando que existe uma configuração de boas práticas que o 
> servidor remetente tem que configurar, o seu usuário não quer nem saber 
> e já chega chutando o balde. Chega num ponto que eles começam a 
> questionar seus métodos dizendo: poxa, se é tudo isso que ele diz, então 
> porque o remetente consegue enviar para todos os demais domínios?

eu sei que é uma opinião polêmica, mas usar o reverso não é uma boa 
prática. não conheço RFC ou BCP que recomende o uso do reverso como 
critério de prova da autenticidade do remetente. creio que essa prática 
persiste somente pela tradição. teve lá seu valor nos anos 90, quando não 
existia SPF, mas hoje atrapalha mais do que ajuda.

afinal o que o teste circular do reverso prova? que o a/aaaa(ptr(ip)) 
contém o ip. isso mostraria que esse ip tem uma certa relação com o 
domínio direto. mas por muitas vezes essa relação não diz nada porque é a 
mesma pessoa que implementa a(x) e ptr(x). Exemplo, da minha rede:

$ host 187.17.32.1
1.32.17.187.in-addr.arpa domain name pointer 1.32.static.inexo.com.br.
$ host 1.32.static.inexo.com.br.
1.32.static.inexo.com.br has address 187.17.32.1

ok, esse endereço passa no teste circular pois ip -> nome -> o mesmo ip, 
mas só pela cara do nome já dá para adivinhar que isso saiu de um par de 
$GENERATEs.

não há como exigir que o domínio do remetente no envelope seja igual ao 
domínio do ptr, até porque um remetente vazio é um remetente válido, as 
mensagens de erro são todas assim. (nota: há um monte de servidores mal 
configurados por aí que rejeitam mensagens com remetente vazio. os 
usuários desses sistemas não recebem mensagens de erro quando suas 
mensagens não foram aceitas pelo outro lado.)

então volta a pergunta: para que testar o reverso? que garantia um reverso 
bonitinho, como todos os da minha rede graças ao $GENERATE, é um bom 
enviador de email e não um spambot? nenhuma!

e o teste de reverso é caro! ele custa duas consultas de DNS, o ptr e o 
a/aaaa para recuperar o IP original e isso pode se multiplicar se o ptr 
retornar um RRSET com vários nomes. me ocorreu agora ter um endereço IP 
perverso cujo PTR retorne um RRSET imenso. seria quase um ataque de 
negação de serviço pois o servidor ficaria empacado antes mesmo de começar 
o diálogo do SMTP.

-- Danton

More information about the masoch-l mailing list