A importância do DNS reverso

Autor: Fernando Bertasso Figaro

Finalidade e conceito

Hoje em dia, quando procuramos sobre combate ao spam na Internet, a
primeira dica que surge é: Rejeitar conexões que não tem reverso
configurado. O que muitos se questionam é o porquê e se há real
benefício.

A resposta é o bom e velho: Depende!

Antes, uma breve introdução: Afinal, o que é reverso?

O DNS reverso é um registro de DNS chamado PTR e tem por objetivo
retornar o nome de host/domínio associado a um ip. Ele é importante
pois fornece um certa ‘autenticidade’ ao ip, por exemplo:

$ host 200.221.29.129
129.29.221.200.in-addr.arpa domain name pointer mx.uol.com.br

$ host mx.uol.com.br
mx.uol.com.br has address 200.221.29.129

O exemplo mostra que o ip informado tem o reverso que aponta para um endereço do uol e que endereço aponta para o mesmo ip.

Veja outro exemplo:

$ host 195.189.234.244
Host 244.234.189.195.in-addr.arpa not found: 3(NXDOMAIN)

Este ip não possui nenhum reverso associado a ele.

Para checar se o seu reverso é válido, siga o processo idêntico ao
exposto acima. Primeiro encontre qual o apontamento reverso e depois
com esse resultado faça a resolução direta. O ip de resultado deve
bater com o ip pesquisado.

Você também pode utilizar as ferramentas do site:

No box "Verifique seu Reverso" é só digitar seu ip e ver o resultado.

Motivação

Bem, e porque muitos provedores adotam a checagem de reverso como um item na proteção contra spam?

Porque isto indica que a origem teve o mínimo de cuidado em seu
trabalho, seguindo padrões/recomendações e configurando corretamente
seus servidores de dns. A RFC1912 (http://www.ietf.org/rfc/rfc1912.txt) em sua seção 2.1 cita:

"Make sure your PTR and A records match. For every IP address, there
should be a matching PTR record in the in-addr.arpa domain".

Tradução aproximada:

"Certifique-se que seus registros PTR e A tenham correspondência. Para cada endereço de IP deve haver um registro PTR válido".

Lembrando que isto é uma recomendação, não uma regra. Ou seja, não ter
o reverso configurado não é absolutamente um erro, mas seus emails
podem ser rejeitados nos provedores que fizerem a checagem.

Dois exemplos:

Fonte: http://terra.com.br/postmaster/

"O Servidor de Origem deve possuir configuração de DNS. Isto implica na
configuração de DNS reverso (um registro de PTR) para o endereço IP do
Servidor de Origem, bem como seu DNS direto correspondente. Conforme
mencionado na RFC 1912, seção 2.1"

Fonte: http://email.uol.com.br/postmaster/

"Os servidores de e-mail do UOL podem rejeitar conexões de
endereços IP’s que não estejam de acordo com as recomendações da RFC
1912 (em inglês), em relação às configurações de DNS-reverso (exigência
de uma entrada PTR válida e autoritativa) "

Todas as grandes corporações possuem seus reversos
configurados e fazem este tipo de checagem como uma forma de coibir
spammers, algumas não fazem o bloqueio diretamente, mas usam esta
informação como um item para compor o score de seus sistemas de
reputação.

Eficiência do mecanismo

E por que você também deveria realizar essa checagem?

Porque executando esse bloqueio ajuda a eliminar bastante lixo que
entraria nos servidores de email economizando em processamento,
armazenamento e banda. O impacto desta solução é baixo, mesmo assim é
possível que conexões válidas (não spammers, porém sem reverso) sejam
barradas. É bom ter uma forma de liberar casos excepcionais
(whitelist).

Mas não podemos ter a sensação de ‘problema resolvido’, esta é só a
primeira barreira e que geralmente barra os spammers ‘menos
profissionais’.

Grande parte do spam vem de redes zumbis (Botnets), ou seja, redes de
computadores que são controlados pelos spammers, seja através de
invasão, vírus ou de aplicações com bugs. Se esses computadores tiverem
seus reversos devidamente configurados, conseguirão ultrapassar
facilmente essa barreira. Portanto esse é um método que não deve ser
usado isoladamente, mas sempre associados a outras camadas de proteção.

Veja uma situação (dados extraídos do log de smtp de um servidor de email):

S:92.49.128.227:unknown H:2f750b4900eb4fc F:3Droosss14@hotmail.com
T:3Droni@ipok.com.br (legenda – S: source, H: helo, F: from, T: to).

Se o hotmail possui seus reversos cadastrados, porque uma determinada
conexão, dizendo-se ser uma conta do hotmail, não possui reverso
(unknown) ? Porque esta conexão (que provavelmente não é de um ip do
hotmail) está forjando os dados do origem, e que é um truque bem antigo
:-). Esse é um exemplo clássico de conexão que deve passar por outros
filtros: spf, domainkeys, greylist etc.

Ainda assim, mesmo que essa conexão possua um reverso válido não
significa que ela seja quem realmente diz ser. No exemplo acima, mesmo
possuindo um reverso válido, a conexão poderia ser de um spammer
forjando sua origem. Exemplo (com reverso configurado):

S:201.43.XX.XX:201-43-XX-XX.dsl.telesp.net.br H:enedhe83yc
F:johnfritz@hotmail.com T:postmaster@ipok.com.br (S: source, H: helo,
F: from, T: to).

Neste caso o reverso do ip 201.43.XX.XX é o
"201-43-XX-XX.dsl.telesp.net.br " e a simples análise do from e do
próprio reverso já indicam a tentativa de falsificação.

Conclusão

Este método de bloqueio por falta de reverso seria,
digamos, o mais rudimentar e o mais simples de ser implementado…e
também o primeiro a ser burlado.

Porém é uma barreira que eu recomendo, pois tem um bom custo X
benefício, é simples de ser implementada, não consome muito recurso e
elimina uma boa quantidade de mensagens que certamente são spam.

Ele deve ser sempre usado em conjunto com outras análises para uma
proteção mais confiável, nunca esquecendo de ter em mãos uma forma de
whitelist, para eventuais exceções.


http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=8162

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s