O que alterar com o bloqueio da porta 25 (CGI.br)

[Sheik]

A muito tempo o CGI.br vem recomendando a alteração da porta 25 (SMTP) para outra, e o Comite Gestor da Internet no Brasil determinou o bloqueio do “local” por onde grande parte dos e-mail falsos são enviados. De acordo com eles, o bloqueio ocorreu ontem 5 de janeiro de 2010.

Com essa determinação, o que fazer no servidor de e-mail para deixar funcionando em outra porta com as recomendações da CGI.br?

Obrigado!

[1929]

Eu li sobre isso. Mas não fiz nada.

E continuo a receber emails normalmente. Será que não houve ainda o bloqueio?

[thiagotgc]

Até então, era para os usuarios finais usarem a porta de submissão, que é a porta 587, e a porta 25 ser apenas de comunicação com os servers de email.

MAs até o momento, nada definitivo....

[danistation]

cinceramente... não vejo aonde está a vantagem disso..... gostria que alguém pudesse explicar....

[haoliveira]

Bom, isso é uma solução temporaria contra os spammers, a vantagem disso é que a maioria dos malwares que se instalam usam a porta 25 para fazer spam, alterando essa porta muitos desses malwares podem deixar de funcionar, mas como eu disse é temporario até os criadores alterarem a porta das pragas.

[danistation]

Bom, isso é uma solução temporaria contra os spammers, a vantagem disso é que a maioria dos malwares que se instalam usam a porta 25 para fazer spam, alterando essa porta muitos desses malwares podem deixar de funcionar, mas como eu disse é temporario até os criadores alterarem a porta das pragas.

Eu li por cima a RFC que fala sobre o uso da porta 587. É um documento antigo, da época que nem tinha smtp autenticado, se não me engano.

Contudo, posso afirmar que, mesmo atualmente, tem muito provedor de serviço e uma gigantesca quantidade de empresas que não chegam a tanto, não possuem seu seus servidores corretamente configurados, como DNS reverso, autenticação de smtp, e relay com falhas, por exemplo.

Passei um ano todo apanhando de Linux para configurar corretamente os servidores da pequena empresa onde trabalho. Afirmo com certeza:

- testes de DNS reverso, OK;
- testes de relay OK;
- conexão pela porta 25, IMAP e IMAPS, apenas com autenticação de usuário e senha;
- entre outros.

Usando sniffers para windows (para observar a rede onde os funcionários estão trabalhando) e para linux (conversação entre servidor e as máquinas dos funcionários, observei o seguinte:

- os servidores faziam delivery de spams APENAS das maquinas da minha própria rede;
- usando sniffers para Windows, observei que haviam dois tipos de malwares: os que usavam diretamente comandos de telnet para TENTAR enviar emails utilizando a porta 25, como mencionado, bem como a maioria deles que usavam as configurações dos clientes de email (outlook express, etc) para fazer o envio.
- os que usavam conexões diretas, apenas sobrecarregavam as máquinas dos bad-users e algumas vezes, a rede interna. Porém NENHUMA entrada era aceita pelo servidor, já que não havia autenticação para uso da porta 25. Isso foi visto por log no servidor;
- os que usavam as configurações do cliente de email eram despachados normalmente, SE somente SE, o cabeçalho do email, na aleatoriedade do malware, fosse montado com os dados corretos da conta de email do bad-user. Como o cliente de email tem a senha de autenticação salva, esses emails eram despachados. Os demais que tinham dados que não condiziam ao usuário/senha para conexao smtp, ficavam sobrecarregando a máquina do próprio usuário.

Resumindo, há poucos lugares que me preocupo em monitrar, pois a única forma de se enviar SPAMs pelos nossos servidores é por malwares que usam a autenticação do cliente de email E se o cabeçalho da maldição disparada tiver exatamente os dados da conta autenticada. Caso contrário, nada de spams.

ainda há persistência sim, mas é fácil de ser localizada e resolvida.

Por esse motivo ainda acho que utlizar submissão para envio de emails, ATUALMENTE, é uma grande babaquice.

Basta cada administrador de TI fazer sua lição de casa. Não sou bosta nenhuma em linux e administração, mas essa lição de casa eu fiz e sem modéstia alguma, mereço um "A Parabéns".

A minha injúria quanto a porta 587 é que temos escritório na Cidade do México. A operadora de banda larga (o que seria a Telefonica aqui em SP), simplesmente ABOLIU o uso da porta 25. Se você quiser usá-la deve pagar um adicional relativamente caro por isso. O padrão é usar a porta 587. Adivinha o que aconteceu com nossos funcionários?? Passaram a não enviar emails usando nosso servidor. Porque não tinhamos essa implementação. O que aconteceu? O serviço de anti-spam de muitas empresas que fizeram sua lição de casa, passaram a rejeitar os emails deles. sobrou pra quem? Pra mim. toca eu colocar essa porcaria para funfar.

No final das contas fiquei até feliz, pois aprendi coisas novas.

O que me irrita mesmo é que os PREGUIÇOSOS MEXICANOS não fazer porcaria nenhuma direito. Se vocês soubessem a quantidade de emails rejeitados, oriundos de domínios .mx e tudo mais que tem no Méxio, não é pocua coisa. 85% do que é rejeitado vem de lá. Por causa que os cucaracha não fazem sua lição de casa.

Li as primeiras postagens desse tópico e fiquei curioso... só falta o Brasil entrar nessa onda de PREGUIÇA/BURRICE e fazer igual, bloqueando a porta 25 e cobrando caro para liberá-la.

sei da dificuldade, por exemplo, para um provedor de internet como o UOL, descobrir que máquinas dos seus usuários estão infectadas, disparando spams como acontece ÀS VEZES na minha rede, porém sem poder sair bloqueando e resolvendo o problema na máquina do desgranhento bad-user, deve ser muito frustrante. Mas acreditem, não há uma vez sequer quando preciso fazer trabalhos desse tipo, que não penso em uma alternativa para uma ocasião dessas. Fico imaginando o que faria, se fizesse parte da equipe de TI deles, para resolver esse tipo de problema sem arranjar confusão com o bad-user.

Bem, resumindo, foi bem colocado pelo HAOLIVEIRA a afirmação "isso é uma solução temporária". Eu espero que fique assim e que isso não se torne uma NORMA aqui no Brasil como os MEXICANOS fizeram... Basta o Silvio Santos imortalizar coisas que vem de lá. Vamos parar por aí! Acredito sim, que nós brasileiros podemos mostrar para o mundo, soluções tão inteligentes como esta foi para a ocasião.

Se alguém quiser me convencer o contrário... Adoraria ler mais opiniões sobre vantagens (?) e desvantagens do uso da porta 587.

Um grande abraço a todos.