[MASOCH-L] Reverso gmail ipv6
Leandro Carlos Rodrigues
leandro at allchemistry.com.br
Wed Oct 8 11:46:42 BRT 2014
Em 08/10/2014 11:29, Danton Nunes escreveu:
> On Wed, 8 Oct 2014, Leandro Carlos Rodrigues wrote:
>
>> Mesmo você explicando que existe uma configuração de boas práticas
>> que o servidor remetente tem que configurar, o seu usuário não quer
>> nem saber e já chega chutando o balde. Chega num ponto que eles
>> começam a questionar seus métodos dizendo: poxa, se é tudo isso que
>> ele diz, então porque o remetente consegue enviar para todos os
>> demais domínios?
>
> eu sei que é uma opinião polêmica, mas usar o reverso não é uma boa
> prática. não conheço RFC ou BCP que recomende o uso do reverso como
> critério de prova da autenticidade do remetente. creio que essa
> prática persiste somente pela tradição. teve lá seu valor nos anos 90,
> quando não existia SPF, mas hoje atrapalha mais do que ajuda.
Verdade. Isso é só uma tradição mesmo. Mas simplesmente ignorar o
reverso na sua própria rede te traz alguns problemas imediatos. Por
exemplo: seu servidor não vai mais enviar mensagens aos usuários de
alguns provedores importantes como o Terra. Existem diversos outros
grandes provedores, que não sei ao certo se usam de fato mas conta como
peso no anti-spam. E o pior de tudo é você conseguir provar que isso não
é de fato uma boa prática, e ser ignorados por todos eles.
>
> afinal o que o teste circular do reverso prova? que o a/aaaa(ptr(ip))
> contém o ip. isso mostraria que esse ip tem uma certa relação com o
> domínio direto. mas por muitas vezes essa relação não diz nada porque
> é a mesma pessoa que implementa a(x) e ptr(x). Exemplo, da minha rede:
>
> $ host 187.17.32.1
> 1.32.17.187.in-addr.arpa domain name pointer 1.32.static.inexo.com.br.
> $ host 1.32.static.inexo.com.br.
> 1.32.static.inexo.com.br has address 187.17.32.1
>
> ok, esse endereço passa no teste circular pois ip -> nome -> o mesmo
> ip, mas só pela cara do nome já dá para adivinhar que isso saiu de um
> par de $GENERATEs.
>
> não há como exigir que o domínio do remetente no envelope seja igual
> ao domínio do ptr, até porque um remetente vazio é um remetente
> válido, as mensagens de erro são todas assim. (nota: há um monte de
> servidores mal configurados por aí que rejeitam mensagens com
> remetente vazio. os usuários desses sistemas não recebem mensagens de
> erro quando suas mensagens não foram aceitas pelo outro lado.)
>
> então volta a pergunta: para que testar o reverso? que garantia um
> reverso bonitinho, como todos os da minha rede graças ao $GENERATE, é
> um bom enviador de email e não um spambot? nenhuma!
>
> e o teste de reverso é caro! ele custa duas consultas de DNS, o ptr e
> o a/aaaa para recuperar o IP original e isso pode se multiplicar se o
> ptr retornar um RRSET com vários nomes. me ocorreu agora ter um
> endereço IP perverso cujo PTR retorne um RRSET imenso. seria quase um
> ataque de negação de serviço pois o servidor ficaria empacado antes
> mesmo de começar o diálogo do SMTP.
É caro, mas dá para fazer o cache se, por algum motivo qualquer, o
administrador achar essencial. Mas a princípio, é um baita desperdício
de recursos mesmo.
>
> -- Danton
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list