[MASOCH-L] Porque é errado listar um IP

[Leandro Carlos Rodrigues]

Bom dia pessoal.

Depois que fizemos o curso de IPv6 pelo NIC.br, vários paradigmas 
antigos começaram a ser derrubados ou substituídos. Dentre estes 
paradigmas, existe um que ainda precisa ser derrubado, segundo minha 
opinião.

O conceito de DNSBL, trabalha com a ideia de que o responsável pelo 
envio de uma mensagem de e-mail é exclusivo do dono do IP. Quando o 
problema de SPAM é abordado desta forma, geramos problemas novos. 
Pretendo apontar estes novos problemas e oferecer uma solução.

Quando um datacenter aluga seus recursos, oferece também um IP ou um 
bloco para quem está alugando. Suponha que este locatário utilize os 
recursos deste datacenter para enviar SPAM em massa. Em pouco tempo, o 
IP do datacenter será listado em diversas blacklists, e talvez até o 
bloco inteiro dele. Suponto que o mesmo datacenter cancele o contrato 
por uso indevido de seus recursos e queira alocar este mesmo recurso 
"sujo" para outro locatário. Isto não será possível de imediato, até que 
esta "sujeira" tenha sido limpa, muitas vezes por pagamento. É óbvio que 
o datacenter não tem responsabilidade pelo envio de SPAM. Tomou todas as 
providências para minimizar o problema, mas não foi capaz de 
neutralizá-lo completamente. Parece ser injusto responsabilizar o dono 
deste datacenter por isso pois os custos gerados pela listagem de seus 
IPs serão obviamente repassados para outros locatários, muitos idôneos.

Agora suponha que um spammer tenha um host próprio com implementação de 
pilha dupla, ambas versões de IP alocadas e funcionando perfeitamente. 
Suponha que este spammer comece a enviar SPAM em massa e parte dos 
destinos funcionam com pilha dupla, ou com apenas uma das versões de IP. 
Neste caso poderia acontecer um problema interessante. Imagine que os 
destinos que recebam as mensagens em IPv4 façam as denúncias às DNSBLs e 
os destinos que recebam as mensagens em IPv6 não façam as denúncias. O 
resultado disto é que a DNSBL convencional vai julgar estes IPs como 
origens distintas, listando um e não listando o outro. Isso porque só 
existem duas versões de IP funcionando no momento. Apesar de ser algo 
distante e talvez improvável, imagine uma terceira versão seja 
implementada. O problema só tenderia a crescer.

A solução para o problema é simples: parar de listar IP e passar a 
listar o hostname e o domínio deste hostname.

Para o primeiro caso, se esta solução aqui fosse implementada, os 
datacenters começariam rapidamente a colocar em contrato a obrigação do 
locatário em ter domínio próprio e que os IPs alugados teriam que ter 
hostname configurado para este domínio, assim como o reverso devidamente 
configurado também. Supondo que o spammer passe a mandar SPAM em massa, 
o que seria "sujado" não seria o IP do datacenter e sim seu próprio 
domínio. Alguns datacenters cancelarão o contrato se isto acontecer, 
talvez por questões relacionadas à ética, assim como outros não 
cancelarão porque o problema não estaria afetando eles efetivamente. Mas 
supondo que o spammer seja expulso, e mude para outro datacenter. Assim 
que jogar seu dominio no hostname deste outro datacenter, obviamente as 
DNSBLs orientados à hostname simplesmente já listariam ele logo de cara. 
Na verdade, a obrigação de ter hostname próprio poderia ser não 
obrigatório se uma DNBLs for capaz de trabalhar alternadamente tanto com 
IP quanto por hostname. Se o hostname for passado corretamente, o DNSBL 
orientado à hostname simplesmente ignoraria o IP e trabalharia com o 
hostname. Neste caso se um locatário idôneo alugar um datacenter com 
vários IPs listados, não haveria problema algum pois bastaria configurar 
corretamente o hostname para com seu próprio domínio "limpo", que as 
DNSBLs orientadas à hostname simplesmente ignorarão o fato dele estar um 
um local com alta incidência de SPAM, porque ele sozinho não tem baixa 
incidência, e considerarão ele como não listado.

Para o segundo caso, se esta solução aqui fosse implementada, os 
destinos com IPv6 saberiam que ele se trata de um spammer, da mesma 
forma que os destinos em IPv4. Isso porque o hostname único para as duas 
versões de IP é capaz de mostrar ao DNSBL orientado à hostname que se 
trata da mesma origem. Ai alguém vai dizer: mas ai o spammer pode 
utilizar um hostname para o IPv4 e outro hostname para o IPv6. Realmente 
pode, mas teria que fazer adaptações no mailer para este seja capaz de 
enviar um HELO quando a conexão for um IPv4 e outro HELO quando a 
conexão for em IPv6. Isso dificulta muito o trabalho deles. Mas supondo 
que façam isso, ainda sim não escapariam da listagem do domínio. Ai 
outro vai dizer: mais ai o spammer vai criar zilhões de domínios. Pode 
acontecer isso mesmo, mas todo domínio criado tem um rastro, que no caso 
dos domínios BR tem o CNPJ ou o CPF do dono. Basta listar estes 
documentos também, da mesma forma que se lista um IP ou um domínio. Ai 
mais o outro vai dizer: pô meu, ai o cara vai falsificar o documento no 
cadastro do domínio. Primeiro que eu nunca presenciei isso e imagino que 
seja raro mas posso estar completamente errado. Segundo que fazer isso 
implica em duas coisas: que o cara é criminoso e que ele não liga a 
mínima para a reputação dos próprios domínios. Basta colocar um alerta 
de volume alto para domínios novos ou então simplesmente rejeitá-los. 
Ninguém que seja idôneo vai criar um domínio e imediatamente começar a 
enviar um volume enorme de e-mail. Normalmente o aumento do volume é 
gradual.

Espero ter criado aqui um novo ponto de discussão para que paremos de 
fazer algo que não funciona na prática.

-- 
Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100