A importância do DNS reverso

Neste artigo abordo a importância do DNS reverso para servidores de email e porque muitos provedores o utilizam como regra de bloqueio contra spammers.

[ Hits: 45.729 ]

Por: Fernando Bertasso Figaro em 06/05/2008


Eficiência do mecanismo



E por que você também deveria realizar essa checagem?

Porque executando esse bloqueio ajuda a eliminar bastante lixo que entraria nos servidores de email economizando em processamento, armazenamento e banda. O impacto desta solução é baixo, mesmo assim é possível que conexões válidas (não spammers, porém sem reverso) sejam barradas. É bom ter uma forma de liberar casos excepcionais (whitelist).

Mas não podemos ter a sensação de 'problema resolvido', esta é só a primeira barreira e que geralmente barra os spammers 'menos profissionais'.

Grande parte do spam vem de redes zumbis (Botnets), ou seja, redes de computadores que são controlados pelos spammers, seja através de invasão, vírus ou de aplicações com bugs. Se esses computadores tiverem seus reversos devidamente configurados, conseguirão ultrapassar facilmente essa barreira. Portanto esse é um método que não deve ser usado isoladamente, mas sempre associados a outras camadas de proteção.

Veja uma situação (dados extraídos do log de smtp de um servidor de email):

S:92.49.128.227:unknown H:2f750b4900eb4fc F:3Droosss14@hotmail.com T:3Droni@ipok.com.br (legenda - S: source, H: helo, F: from, T: to).

Se o hotmail possui seus reversos cadastrados, porque uma determinada conexão, dizendo-se ser uma conta do hotmail, não possui reverso (unknown) ? Porque esta conexão (que provavelmente não é de um ip do hotmail) está forjando os dados do origem, e que é um truque bem antigo :-). Esse é um exemplo clássico de conexão que deve passar por outros filtros: spf, domainkeys, greylist etc.

Ainda assim, mesmo que essa conexão possua um reverso válido não significa que ela seja quem realmente diz ser. No exemplo acima, mesmo possuindo um reverso válido, a conexão poderia ser de um spammer forjando sua origem. Exemplo (com reverso configurado):

S:201.43.XX.XX:201-43-XX-XX.dsl.telesp.net.br H:enedhe83yc F:johnfritz@hotmail.com T:postmaster@ipok.com.br (S: source, H: helo, F: from, T: to).

Neste caso o reverso do ip 201.43.XX.XX é o "201-43-XX-XX.dsl.telesp.net.br " e a simples análise do from e do próprio reverso já indicam a tentativa de falsificação.

Conclusão

Este método de bloqueio por falta de reverso seria, digamos, o mais rudimentar e o mais simples de ser implementado...e também o primeiro a ser burlado.

Porém é uma barreira que eu recomendo, pois tem um bom custo X benefício, é simples de ser implementada, não consome muito recurso e elimina uma boa quantidade de mensagens que certamente são spam.

Ele deve ser sempre usado em conjunto com outras análises para uma proteção mais confiável, nunca esquecendo de ter em mãos uma forma de whitelist, para eventuais exceções.

Página anterior    

Páginas do artigo
   1. Finalidade e conceito
   2. Motivação
   3. Eficiência do mecanismo
Outros artigos deste autor

Comunicação POP3

Leitura recomendada

Servidor de E-mails Falido?

Qmail Auditor, auditoria no servidor Qmail

Hotwayd :: Conectando-se ao servidor POP3 do Hotmail

Instalação e configuração do Spamassassin

Conversão da base de dados do Cyrus IMAP no Debian

  
Comentários
[1] Comentário enviado por elgio em 06/05/2008 - 11:17h

Gostei.

Eu falo de técnica de combate a SPAM em redes e nelas eu comento o reverso, grey list e SPF, todas envolvendo protocolo SMTP.

Claro, tem também a RBL na qual eu NÃO ACREDITO (pois meu muito bem configurado servidor já entrou em RBL e eu jamais soube porque)

[2] Comentário enviado por fbertasso em 06/05/2008 - 11:22h

Olá Elgio,

Tenho uma revisão deste artigo com mais detalhes. Assim que publicar em meu site te aviso.

Fernando

[3] Comentário enviado por spikey em 06/05/2008 - 20:13h

elgio

Sobre o conceito de RBL, gosta da OutBlaze, mais agora o serviço é pago, e ainda tem listas em que você tem que pagar para retirar seu servidor delas, uma coisa que não concordo...

[4] Comentário enviado por coffani em 06/05/2008 - 22:38h

também ja tive um servidor de e-mail em uma RBL e até hj num sei pq ele entrou nela, tinha tudo configurado com reverso e tudo... concordo com o amigo spikey em não ter q pagar pra tirar o servidor da lista, coisa que é quase impossivel de se fazer, vc tira de uma e ele aparece em outra, parece ate combinado.

Parabens pelo artigo, bem tecnico.

[5] Comentário enviado por marcus-rj em 08/05/2008 - 22:29h

Muito bom o artigo, me trouxe bastante conhecimento. Obrigado!

Quando tiver feito a revisão do artigo disponibiliza o link aqui.

Abraços!

[6] Comentário enviado por jsamorim em 11/05/2008 - 21:26h

Como configurar no servidor linux debian para não assessar o site www.orkut.com e o site www.msn.com

[7] Comentário enviado por hebertcafe em 24/09/2008 - 12:33h

Muito bom o artigo. Já tinha lido alguns outros e este veio acrescentar com mais clareza.
Obrigado


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts