[MASOCH-L] Guerra aos IPs dinâmicos

Leandro leandro at spfbl.net
Thu Apr 20 10:17:36 BRT 2017


Em 20 de abril de 2017 10:00, Danton Nunes <danton.nunes at inexo.com.br>
escreveu:

> On Thu, 20 Apr 2017, Leandro wrote:
>
> Imagine um hacker escrevendo um código para entrar num roteador e enviar
>> e-mail usando um endereço IPv6 para cada e-mail enviado:
>>
>>   - Aloca 2001:DB8::1 e dispara o e-mail 1
>>   - Aloca 2001:DB8::2 e dispara o e-mail 2
>>   - Aloca 2001:DB8::3 e dispara o e-mail 2
>>   - ...
>>   - Aloca 2001:DB8::FFFF e dispara o e-mail 65535
>>   - ...
>>
>
> há limites práticos no número de endereços IP que uma interface pode ter,
> no Linux isso é controlado pelo sysctl. a estratégia correta é alocar um
> endereço, enviar a porcaria, desalocar o endereço, voltar ao começo.
>

Boa. Exatamente isso. Só lembrando que quem receber o bloco /56 ou /48,
poderá programar isso facilmente.


>
> em algum momento vamos ter de desvincular totalmente o combate ao spam ao
> DNS, exceto talvez em protocolos como o SPF e listas negras. Minhas
> sugestões:
>
> 1. esqueçam o reverso. não faz parte da cultura IPv6 configurar reverso
> para todos os endereços. artifícios bonitinhos como geração automática de
> AAAA e PTR representam mera adição de burocracia.
>

E acho que o reverso passará a ser amplamente utilizado em servidores de
e-mail, quando se derem conta do tamanho do problema. Esse é aquele tipo de
solução que não vem de norma mas sim do pragmatismo.

Se o reverso para servidores pegar mesmo em IPv6, no fundo isso será uma
espécie de cadastro de MTA, que o Paulo sugeriu.

Vamos aguardar cenas dos próximos capítulos para sabermos quem vai vencer:
norma ou pragmatismo.


>
> 2. flagar endereços SLAAC é trivial por causa da marca FFFE. admitir que
> endereços SLAAC são muito provavelmente de usuários finais é bastante
> razoável. o bom é que um teste destes custa zero.
>
> 3. Outros endereços dinâmicos não são tão facilmente identificáveis, mas
> devido à natureza aleatória dos 64 últimos bits podemos apelar para a
> hipótese de que servidores reais, configurados com endereços estáticos, tem
> baixa entropia nesses bits (isto é, muito mais 0s que 1s ou vice versa)
> enquanto dinâmicos tenderiam a ter alta entropia (uma distribuição mais
> uniforme de 0s e 1s.) Endereços com aproximadamente o mesmo número de 0s e
> 1s poderiam ser flagrados como suspeitos de serem usuários finais.
> Este teste também é de ordem zero e não demanda consulta de DNS.
>

Genial.


>
> 4. procurar critérios que não dependam do IP, e estejam embutidos dentro
> do próprio protocolo de aplicação ou no transporte. uma ideia que me parece
> simples é verificar a validade do certificado usado para estabelecer a
> sessão TLS, quando for o caso, tanto para a MTA que recebe quanto para a
> que envia! Claro que o spammer pode arranjar um certificado válido, mas aí
> a CA que o assinou corre o risco de ser declarada não-confiável ou o
> próprio administrador do lado receptor pode manter uma lista revogação
> particular.
>

Exatamente. Esse critério pode ser o domínio de remetente também, além
disso tudo.


>
> -- Danton (há mais de duas décadas na luta contra o spam)
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>


More information about the masoch-l mailing list