[MASOCH-L] Valenet x Porta 25

Leandro leandro at spfbl.net
Sat May 21 21:32:16 BRT 2016


Oi Rubens,

Nossa maior luta aqui no SPFBL é justamente com as redes dinâmicas com a
porta 25 aberta.

Esses casos de operadoras deixarem a porta 25 aberta para clientes
residenciais não é algo tão incomum assim. Veja uma pequena amostragem de
hosts brasileiros que tentaram enviar e-mail para meus colaboradores:

https://dl.dropboxusercontent.com/u/44768624/dynamic.txt

Perceba que tem grandes operadoras ai no meio e a lista real é muito maior
que essa amostragem. Se quiser eu posso começar a levantar esses casos para
começar a te passar.

Sobre essas redes da Valenet, eu desenvolvi uma ferramenta aqui para fazer
uma análise mais detalhada das redes.

Essa ferramenta faz um scam e procura portas 25 abertas e, se encontrar,
tenta estabelecer conexão SMTP com TLS para verificar se o terminal da
outra ponta está com TLS implementado. A tese, do meu colega Gian, é que as
portas 25 com SMTP sem TLS são indício de bot ou vírus pois grandes
provedores de email já estão exigindo TLS, como exemplo do Gmail. Em tese
se o terminal lá da outra ponta não tem TLS implementado, não consegue
trocar mensagens com estes grandes provedores, portanto algo estranho
ocorre. Eu não sei se a tese dele está correta mas faz muito sentido aqui
para mim.

Pois bem. Fiz a analise destas redes IPv4 deste AS e achei duas portas
abertas com serviço SMTP, mas sem TLS:

https://dl.dropboxusercontent.com/u/44768624/VALENET.ods

Um IP não tem reverso, e portanto deve ser um IP dinâmico mesmo, e o outro
é IP corporativo.

Acontece que outro problema que lutamos aqui são os casos de blocos
pequenos alocados para empresas por grandes operadoras. Quando a operadora
aloca estes pequenos blocos, algumas empresas colocam servidor de e-mail em
um IP e deixa o restante para outros serviços, como Apache por exemplo. O
problema é que a operadora deixa a porta 25 aberta, porque é bloco
corporativo, porém o administrador da empresa não fecha a saída da porta 25
pelo firewall destes terminais que não tem função de envio de e-mail.

Quando isso ocorre, se o terminal sem função de servidor de e-mail for
atacado, o vírus encontra a porta 25 aberta e começa a disparar rajadas de
e-mails. Muito comum isso acontecer com servidores Apache por conta daquela
falha que encontraram um tempo atrás.

Outros dois IPs sem reverso foram encontrados com serviço SMTP mas
respondeu como fora de serviço: UNAVAILABLE.

Outros cinco IPs com reverso foram encontrados, porém sem reverso
configurado para a empresa: WHITE.

Então tudo indica que estão sim deixando a porta 25 aberta nos dois casos:
dinâmico e corporativo sem função de envio de e-mail.

Leandro


Em 21 de maio de 2016 16:48, Rubens Kuhl <rubensk at gmail.com> escreveu:

> Pessoal,
>
> Alguém da região poderia comentar se a Valenet (AS 28201, Minas Gerais) faz
> bloqueio de porta 25 para usuário residencial como deveria ?
>
> Este quadro onde os únicos brasileiros são grandes redes como Oi, Vivo e
> Claro além da própria Valenet sugere que haja algo lá distoante:
> http://www.abuseat.org/asn.html
>
> Rubens
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>


More information about the masoch-l mailing list