[MASOCH-L] Porque é errado listar um IP

[Kurt Kraut]

Aloha Leandro,


A empreitada do Richard Stallman começou quando ele modificou o driver de
uma impressora Xerox no MIT para que ela avisasse todos que tinham jobs na
fila quando a impressora emperrasse o papel. Dessa forma, 3, 4, 5
engenheiros do MIT brotavam na impressora para desemperrá-la toda vez que
esse problema (frequente) ocorria.

Quando múltiplos atores são chamados ou afetados por um problema, há maior
chance de cooperação na solução dele. Se um endereço IPv4 é compartilhado
entre múltiplos serviços de empresas/usuários diferentes e este recurso cai
numa lista negra, a chance do problema ser corrigido e evitado é bem maior.

Abraços,


Kurt Kraut

Em 28 de julho de 2015 09:14, Leandro Carlos Rodrigues <
leandro at allchemistry.com.br> escreveu:

> Bom dia pessoal.
>
> Depois que fizemos o curso de IPv6 pelo NIC.br, vários paradigmas antigos
> começaram a ser derrubados ou substituídos. Dentre estes paradigmas, existe
> um que ainda precisa ser derrubado, segundo minha opinião.
>
> O conceito de DNSBL, trabalha com a ideia de que o responsável pelo envio
> de uma mensagem de e-mail é exclusivo do dono do IP. Quando o problema de
> SPAM é abordado desta forma, geramos problemas novos. Pretendo apontar
> estes novos problemas e oferecer uma solução.
>
> Quando um datacenter aluga seus recursos, oferece também um IP ou um bloco
> para quem está alugando. Suponha que este locatário utilize os recursos
> deste datacenter para enviar SPAM em massa. Em pouco tempo, o IP do
> datacenter será listado em diversas blacklists, e talvez até o bloco
> inteiro dele. Suponto que o mesmo datacenter cancele o contrato por uso
> indevido de seus recursos e queira alocar este mesmo recurso "sujo" para
> outro locatário. Isto não será possível de imediato, até que esta "sujeira"
> tenha sido limpa, muitas vezes por pagamento. É óbvio que o datacenter não
> tem responsabilidade pelo envio de SPAM. Tomou todas as providências para
> minimizar o problema, mas não foi capaz de neutralizá-lo completamente.
> Parece ser injusto responsabilizar o dono deste datacenter por isso pois os
> custos gerados pela listagem de seus IPs serão obviamente repassados para
> outros locatários, muitos idôneos.
>
> Agora suponha que um spammer tenha um host próprio com implementação de
> pilha dupla, ambas versões de IP alocadas e funcionando perfeitamente.
> Suponha que este spammer comece a enviar SPAM em massa e parte dos destinos
> funcionam com pilha dupla, ou com apenas uma das versões de IP. Neste caso
> poderia acontecer um problema interessante. Imagine que os destinos que
> recebam as mensagens em IPv4 façam as denúncias às DNSBLs e os destinos que
> recebam as mensagens em IPv6 não façam as denúncias. O resultado disto é
> que a DNSBL convencional vai julgar estes IPs como origens distintas,
> listando um e não listando o outro. Isso porque só existem duas versões de
> IP funcionando no momento. Apesar de ser algo distante e talvez improvável,
> imagine uma terceira versão seja implementada. O problema só tenderia a
> crescer.
>
> A solução para o problema é simples: parar de listar IP e passar a listar
> o hostname e o domínio deste hostname.
>
> Para o primeiro caso, se esta solução aqui fosse implementada, os
> datacenters começariam rapidamente a colocar em contrato a obrigação do
> locatário em ter domínio próprio e que os IPs alugados teriam que ter
> hostname configurado para este domínio, assim como o reverso devidamente
> configurado também. Supondo que o spammer passe a mandar SPAM em massa, o
> que seria "sujado" não seria o IP do datacenter e sim seu próprio domínio.
> Alguns datacenters cancelarão o contrato se isto acontecer, talvez por
> questões relacionadas à ética, assim como outros não cancelarão porque o
> problema não estaria afetando eles efetivamente. Mas supondo que o spammer
> seja expulso, e mude para outro datacenter. Assim que jogar seu dominio no
> hostname deste outro datacenter, obviamente as DNSBLs orientados à hostname
> simplesmente já listariam ele logo de cara. Na verdade, a obrigação de ter
> hostname próprio poderia ser não obrigatório se uma DNBLs for capaz de
> trabalhar alternadamente tanto com IP quanto por hostname. Se o hostname
> for passado corretamente, o DNSBL orientado à hostname simplesmente
> ignoraria o IP e trabalharia com o hostname. Neste caso se um locatário
> idôneo alugar um datacenter com vários IPs listados, não haveria problema
> algum pois bastaria configurar corretamente o hostname para com seu próprio
> domínio "limpo", que as DNSBLs orientadas à hostname simplesmente ignorarão
> o fato dele estar um um local com alta incidência de SPAM, porque ele
> sozinho não tem baixa incidência, e considerarão ele como não listado.
>
> Para o segundo caso, se esta solução aqui fosse implementada, os destinos
> com IPv6 saberiam que ele se trata de um spammer, da mesma forma que os
> destinos em IPv4. Isso porque o hostname único para as duas versões de IP é
> capaz de mostrar ao DNSBL orientado à hostname que se trata da mesma
> origem. Ai alguém vai dizer: mas ai o spammer pode utilizar um hostname
> para o IPv4 e outro hostname para o IPv6. Realmente pode, mas teria que
> fazer adaptações no mailer para este seja capaz de enviar um HELO quando a
> conexão for um IPv4 e outro HELO quando a conexão for em IPv6. Isso
> dificulta muito o trabalho deles. Mas supondo que façam isso, ainda sim não
> escapariam da listagem do domínio. Ai outro vai dizer: mais ai o spammer
> vai criar zilhões de domínios. Pode acontecer isso mesmo, mas todo domínio
> criado tem um rastro, que no caso dos domínios BR tem o CNPJ ou o CPF do
> dono. Basta listar estes documentos também, da mesma forma que se lista um
> IP ou um domínio. Ai mais o outro vai dizer: pô meu, ai o cara vai
> falsificar o documento no cadastro do domínio. Primeiro que eu nunca
> presenciei isso e imagino que seja raro mas posso estar completamente
> errado. Segundo que fazer isso implica em duas coisas: que o cara é
> criminoso e que ele não liga a mínima para a reputação dos próprios
> domínios. Basta colocar um alerta de volume alto para domínios novos ou
> então simplesmente rejeitá-los. Ninguém que seja idôneo vai criar um
> domínio e imediatamente começar a enviar um volume enorme de e-mail.
> Normalmente o aumento do volume é gradual.
>
> Espero ter criado aqui um novo ponto de discussão para que paremos de
> fazer algo que não funciona na prática.
>
> --
> Leandro Carlos Rodrigues
> TI All Chemistry do Brasil
> (11) 3014-7100
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>