[MASOCH-L] Guerra aos IPs dinâmicos

[Leandro]

Em 20 de abril de 2017 10:54, Danton Nunes <danton.nunes at inexo.com.br>
escreveu:

>
> Exatamente. Esse critério pode ser o domínio de remetente também, além
>> disso tudo.
>>
>
> sim, o remetente tem que apresentar um certificado em que o nome do
> domínio do remetente (no envelope) seja um CN dentro da parte assinada do
> certificado. e o remetente pode verificar se o certificado do destinatário
> tem o domínio do destinatário num CN assinado, se for uma entrega final,
> isto é, para o MX do domínio. Com isto os dois podem ir dormir sossegados,
> quem entregou sabe que entregou para o cara certo, quem recebeu sabe que
> recebeu de um MTA autorizado. e isso sem consulta ao DNS e sem ter que
> focinhar dentro do conteúdo da mensagem, só com os envelopes e com os
> certificados do TLS. No entanto é bom lembrar que TLS é opcional.
>
> note que um procedimento assim já é usado opcionalmente por clientes de
> email ao submeter mensagens pela porta 587 com TLS.
>
> creio que este mecanismo teria a mesma função do cadastro já mencionado,
> sem a necessidade de uma terceira parte confiável a manter o cadastro.
>
> spams que furassem esta barreira poderiam ser usados para avaliar a
> reputação das CAs que assinam os certificados, mudando a pontuação ou mesmo
> removendo aquelas que assinam certificados de spammers. além disso cada
> administrador poderia ter sua própria lista de certificados revogados ou
> uma terceira parte poderia prover tal serviço, mais ou menos como as listas
> de bloqueio baseadas em IP atuais.
>
> O DNS poderia ter um papel aqui, porque os certificados poderiam ser
> guardados no próprio DNS (veja RFC-4398 e RFC-6944).
>

Gostei muito dessa ideia. Eu vou estudar como obter os parâmetros TLS da
conexão SMTP na ACL do Exim para ver se tem como sair algum suco desse
limão.


>
> -- Danton
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>