Comitê Gestor da Internet no Brasil
CGI.br Registro CERT.br
 

Listas de bloqueio

 
 

Sumário

1. Introdução

Listas de bloqueio são, talvez, o mais antigo mecanismo de combate ao spam. Estas listas são bases de dados de endereços IP que tenham sido identificados como possível fonte de spam, segundo os critérios da entidade que mantém a lista. As listas normalmente funcionam através de consultas DNS às bases de dados.

Também existem outros critérios de bloqueio, geralmente envolvendo DNS, como:

  • bloqueio pela inexistência de reverso;
  • bloqueio pela inconsistência do reverso;
  • bloqueio pela presença do reverso em uma lista negra de domínios.

2. Listas negras

As listas negras (blacklists) possuem endereços IP de máquinas que, segundo o critério do mantenedor da lista, estão envolvidos em envio de spam.

Estas listas são implementadas através de zonas de DNS, semelhantes às de tradução reversa. Dado um endereço IP w.x.y.z a ser bloqueado, na lista este IP será incluído com o nome de domínio z.y.x.w.nome.da.lista.

Se ao consultar uma lista negra pelo nome z.y.x.w.nome.da.lista for obtida uma resposta, significa que o IP w.x.y.z faz parte da lista negra. A reposta obtida costuma indicar a razão pela qual o IP foi incluído na lista de bloqueio, e varia de lista para lista.

A implementação de consultas a listas negras é bastante fácil e praticamente todo MTA possui suporte para este recurso.

É importante ter muito cuidado ao escolher quais listas consultar. Algumas listas possuem critérios de inclusão de IPs pouco seletivos, pois em geral incluem grandes blocos de rede, podendo incluir na lista de bloqueio muitos IPs que não estão envolvidos em spam. Algumas chegam a incluir todos os IPs de um determinado país, por exemplo.

Para evitar o bloqueio de e-mails legítimos, que venham de redes apenas vizinhas de IPs que enviam spam, é aconselhável a utilização de listas que tenham um bom critério de inclusão de IPs. Um documento de referência para a escolha das listas é o relatório do San Diego Supercomputing Center, http://www.sdsc.edu/~jeff/spam/Blacklists_Compared.html.

Também é possível criar uma lista negra própria, desde que se tenha acesso a um servidor de nomes, e nele listar os endereços IP que violem alguma política pré-estabelecida.

3. Listas de linhas discadas

São listas que enumeram os domínios reversos de redes dedicadas somente ao acesso doméstico, seja propriamente discado ou de banda larga.

O funcionamento é semelhante às listas negras, mas neste caso o domínio consultado é o reverso clássico (in-addr.arpa). Se o domínio resultante for sub-domínio de qualquer um listado, a mensagem é rejeitada.

Cuidado: Vários operadores de ADSL não fazem separação de seus usuários domésticos dos corporativos.

4. Listas de relays e proxies abertos

Relays abertos são MTAs que transmitem mensagens de qualquer domínio, ou mesmo só de domínios determinados, para qualquer outro, sem pedir autenticação, sem restringir (ou restringindo muito pouco) a faixa de endereços IP de origem. Relays abertos podem ser MTAs mal configurados ou programas instalados clandestinamente em máquinas comprometidas.

Proxies abertos usam um mecanismo diferente, mas com o mesmo efeito. Em vez de um MTA ser abusado, é um serviço de proxy que é abusado para retransmitir mensagens, por exemplo, através do comando CONNECT.

As listas de relays e proxies abertos funcionam exatamente como as listas negras convencionais. Algumas listas negras mais gerais retornam valores indicativos de que o IP foi incluído lá por ser um relay ou proxy aberto.

Cuidado: Muitas vezes o responsável por um MTA corrigiu o problema de relay aberto mas o endereço permanece listado por um longo tempo.

5. Lista branca

A lista branca (whitelist) consiste em uma lista de exceções às regras de bloqueio por listas negras ou outros critérios. Normalmente a lista branca é mantida pelo próprio administrador do serviço de e-mail, e pode ser implementada através de DNS, listas de domínios, IPs ou blocos CIDR, ou através de regras de SPF que devem ser avaliadas antes de qualquer outra.

Por exemplo, usando SPF, se quiséssemos que qualquer IP da rede 192.0.2.0/24 pudesse enviar mensagens independentemente de registros SPF (ou a falta deles), ou mesmo que constem de alguma lista negra, bastaria incluir um registro SPF contendo ip4:192.0.2.0/24 para colocá-lo na lista branca.

6. Checagem de informações de DNS e de aderência a RFCs

Um método de bloqueio utilizado por alguns administradores de redes é impedir o recebimento de mensagens partindo de máquinas cujo endereço IP não possui um registro DNS do tipo PTR (endereço reverso). Adicionalmente também é possível verificar se o nome da máquina, retornado pela consulta PTR, possui um registro do tipo A que seja igual ao endereço IP originalmente consultado.

Normalmente o bloqueio em função do endereço reverso está associado com algum outro critério, como por exemplo, determinar se o transmissor é um provável usuário doméstico, de linha discada, ADSL ou cabo, uma vez que estas máquinas não são MTAs e muitas vezes podem ser spam zombies.

Há duas considerações que devem ser feitas sobre o bloqueio em função do endereço reverso de máquinas de usuários domésticos:

  • este depende de convenções adotadas pelo provedor de serviços da rede de origem. Estas convenções podem mudar sem aviso prévio e não são uniformes entre diversos provedores;
  • pode fazer com que MTAs válidos sejam bloqueados.

Cuidado: possuir endereço reverso não é obrigatório, além disso, nem sempre os administradores de redes possuem controle direto sobre a configuração DNS de seus IPs. Desse modo, bloqueio em função do endereço reverso deve ser usado com cautela.

Também é possível barrar mensagens em função de alguns testes adicionais de DNS e de sua conformidade com padrões, tais como:

  • HELO/EHLO: se a identificação fornecida nesse comando não estiver de acordo com a RFC 5321 ou não for possível resolver o nome do domínio, a mensagem é bloqueada;
  • MAIL FROM: se o domínio do e-mail fornecido não existir, a mensagem é bloqueada.

Cuidado: É importante não bloquear mensagens em que o MAIL FROM é vazio, pois podem ser mensagens de erro, que não devem ser bloqueadas. No entanto, uma situação em que o bloqueio por MAIL FROM vazio é aplicável é quando a mensagem tiver mais de um destinatário, pois mensagens de erro possuem apenas um destinário.

7. Considerações finais sobre listas de bloqueio

É importante sempre lembrar que, ao utilizar listas de bloqueio, existe o risco de mensagens legítimas serem bloqueadas. Existem outras técnicas, como SPF e greylisting, que não se baseiam somente em informações sobre o IP que está enviando o e-mail e possuem uma taxa menor de falsos positivos.

 
  Creative Commons License
Válido XHTML - CSS