Sumário
1. Introdução
Listas de bloqueio são, talvez, o mais antigo mecanismo de combate ao
spam. Estas listas são bases de dados de endereços IP que tenham sido
identificados como possível fonte de spam, segundo os critérios da
entidade que mantém a lista. As listas normalmente funcionam através
de consultas DNS às bases de dados.
Também existem outros critérios de bloqueio, geralmente envolvendo
DNS, como:
- bloqueio pela inexistência de reverso;
- bloqueio pela inconsistência do reverso;
- bloqueio pela presença do reverso em uma lista negra de
domínios.
2. Listas negras
As listas negras (blacklists) possuem endereços IP de máquinas
que, segundo o critério do mantenedor da lista, estão envolvidos em
envio de spam.
Estas listas são implementadas através de zonas de DNS, semelhantes às
de tradução reversa. Dado um endereço IP w.x.y.z a ser
bloqueado, na lista este IP será incluído com o nome de domínio
z.y.x.w.nome.da.lista.
Se ao consultar uma lista negra pelo nome
z.y.x.w.nome.da.lista for obtida uma resposta, significa que
o IP w.x.y.z faz parte da lista negra. A reposta obtida
costuma indicar a razão pela qual o IP foi incluído na lista de
bloqueio, e varia de lista para lista.
A implementação de consultas a listas negras é bastante fácil e
praticamente todo MTA possui suporte para este recurso.
É importante ter muito cuidado ao escolher quais listas consultar.
Algumas listas possuem critérios de inclusão de IPs pouco seletivos,
pois em geral incluem grandes blocos de rede, podendo incluir na lista
de bloqueio muitos IPs que não estão envolvidos em spam. Algumas
chegam a incluir todos os IPs de um determinado país, por exemplo.
Para evitar o bloqueio de e-mails legítimos, que venham de
redes apenas vizinhas de IPs que enviam spam, é aconselhável a
utilização de listas que tenham um bom critério de inclusão de IPs.
Um documento de referência para a escolha das listas é o relatório do
San Diego Supercomputing Center,
http://www.sdsc.edu/~jeff/spam/Blacklists_Compared.html.
Também é possível criar uma lista negra própria, desde que se tenha
acesso a um servidor de nomes, e nele listar os endereços IP que
violem alguma política pré-estabelecida.
3. Listas de linhas discadas
São listas que enumeram os domínios reversos de redes dedicadas
somente ao acesso doméstico, seja propriamente discado ou de banda
larga.
O funcionamento é semelhante às listas negras, mas neste caso o
domínio consultado é o reverso clássico (in-addr.arpa). Se o
domínio resultante for sub-domínio de qualquer um listado, a mensagem
é rejeitada.
Cuidado: Vários operadores de ADSL não fazem separação de seus
usuários domésticos dos corporativos.
4. Listas de relays e proxies abertos
Relays abertos são MTAs que transmitem mensagens de qualquer
domínio, ou mesmo só de domínios determinados, para qualquer outro,
sem pedir autenticação, sem restringir (ou restringindo muito pouco) a
faixa de endereços IP de origem. Relays abertos podem ser MTAs
mal configurados ou programas instalados clandestinamente em máquinas
comprometidas.
Proxies abertos usam um mecanismo diferente, mas com o mesmo
efeito. Em vez de um MTA ser abusado, é um serviço de proxy
que é abusado para retransmitir mensagens, por exemplo, através do
comando CONNECT.
As listas de relays e proxies abertos funcionam
exatamente como as listas negras convencionais. Algumas listas negras
mais gerais retornam valores indicativos de que o IP foi incluído lá
por ser um relay ou proxy aberto.
Cuidado: Muitas vezes o responsável por um MTA corrigiu o
problema de relay aberto mas o endereço permanece listado por
um longo tempo.
5. Lista branca
A lista branca (whitelist) consiste em uma lista de exceções às
regras de bloqueio por listas negras ou outros critérios. Normalmente
a lista branca é mantida pelo próprio administrador do serviço de
e-mail, e pode ser implementada através de DNS, listas de
domínios, IPs ou blocos CIDR, ou através de regras de SPF que devem
ser avaliadas antes de qualquer outra.
Por exemplo, usando SPF, se quiséssemos que qualquer IP da rede
192.0.2.0/24 pudesse enviar mensagens independentemente de
registros SPF (ou a falta deles), ou mesmo que constem de alguma lista
negra, bastaria incluir um registro SPF contendo
ip4:192.0.2.0/24 para colocá-lo na lista branca.
6. Checagem de informações de DNS e de aderência a RFCs
Um método de bloqueio utilizado por alguns administradores de redes é
impedir o recebimento de mensagens partindo de máquinas cujo endereço
IP não possui um registro DNS do tipo PTR (endereço reverso).
Adicionalmente também é possível verificar se o nome da máquina,
retornado pela consulta PTR, possui um registro do tipo
A que seja igual ao endereço IP originalmente consultado.
Normalmente o bloqueio em função do endereço reverso está associado
com algum outro critério, como por exemplo, determinar se o
transmissor é um provável usuário doméstico, de linha discada, ADSL ou
cabo, uma vez que estas máquinas não são MTAs e muitas vezes podem ser
spam zombies.
Há duas considerações que devem ser feitas sobre o bloqueio em função
do endereço reverso de máquinas de usuários domésticos:
- este depende de convenções adotadas pelo provedor de serviços
da rede de origem. Estas convenções podem mudar sem aviso
prévio e não são uniformes entre diversos provedores;
- pode fazer com que MTAs válidos sejam bloqueados.
Cuidado: possuir endereço reverso não é obrigatório, além
disso, nem sempre os administradores de redes possuem controle direto
sobre a configuração DNS de seus IPs. Desse modo, bloqueio em função
do endereço reverso deve ser usado com cautela.
Também é possível barrar mensagens em função de alguns testes
adicionais de DNS e de sua conformidade com padrões, tais como:
- HELO/EHLO: se a identificação fornecida nesse comando
não estiver de acordo com a RFC 5321 ou não
for possível resolver o nome do domínio, a mensagem é
bloqueada;
- MAIL FROM: se o domínio do e-mail fornecido não
existir, a mensagem é bloqueada.
Cuidado: É importante não bloquear mensagens em que o MAIL
FROM é vazio, pois podem ser mensagens de erro, que não devem ser
bloqueadas. No entanto, uma situação em que o bloqueio por MAIL
FROM vazio é aplicável é quando a mensagem tiver mais de um
destinatário, pois mensagens de erro possuem apenas um destinário.
7. Considerações finais sobre listas de bloqueio
É importante sempre lembrar que, ao utilizar listas de bloqueio,
existe o risco de mensagens legítimas serem bloqueadas. Existem
outras técnicas, como SPF e greylisting, que não se baseiam
somente em informações sobre o IP que está enviando o e-mail e
possuem uma taxa menor de falsos positivos.
|