políticas e padrões para a redução do abuso de proxies ... · pol´ıticas e padroes para a˜...
TRANSCRIPT
Polıticas e Padroes para aReducao do Abuso de Proxies Abertos
para o Envio de Spam
Klaus Steding-Jessenjessencertbr
Centro de Estudos Resposta e Tratamento de Incidentes de Seguranca no BrasilNucleo de Informacao e Coordenacao do Ponto br
Comite Gestor da Internet no Brasil
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 121
Agenda
O Problema do Abuso de Proxies AbertosReclamacoes de Spam ao CERTbrResultados do Projeto SpamPots
Como Este Abuso Acontece
Padroes e Polıticas Disponıveis para Mitigar o ProblemaEvolucao dos PadroesImpacto
Benefıcios
Referencias
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 221
O Problema doAbuso de Proxies Abertos
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 321
Reclamacoes de Spam ao CERTbr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 421
Resultados do Projeto SpamPotsMetricas sobre o Abuso de Redes de Banda Larga para o Enviode Spam
bull Mantido pelo CGIbrNICbr como parte da CT-Spambull 10 honeypots de baixa interatividade
ndash 5 operadoras diferentes de cabo e DSLndash em conexoes residenciais e comerciais
Perıodo de coleta 10062006a 18092007
Dias coletados 466Total de emails 524585779Emailsdia 12 milhoesDestinatarios 4805521964Destinatariosspam 916IPs unicos 216888ASNs unicos 3006Country Codes 165
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 521
Portas Abusadas
Porta Protocolo Servico
1080 SOCKS socks 37318080 HTTP http 3479
80 HTTP http 10923128 HTTP Squid 6178000 HTTP http 2766588 HTTP AnalogX 229
25 SMTP smtp 1464480 HTTP Proxy+ 1383127 SOCKS MyDoom 1003382 HTTP Sobigf 096
81 HTTP http 096
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 621
Tentativas de Saıda de Trafego
HTTPTipo Requisicoes
Saıda para 25TCP 89496969 9762Saıda para outras 106615 012get (geralmente web) 225802 025Erros 1847869 201Total 91677255 10000
SOCKSTipo Requisicoes
Saıda para 25TCP 46776884 8731Saıda para outras 1055081 197Erros 5741908 1072Total 53573873 10000
Obs Para este calculo considerou-se apenas a primeira tentativa decada endereco IP
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 721
Como EsteAbuso Acontece
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 821
Uso Legıtimo ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
PrimergyProvedor
Provedor
de Eminusmail
Z
B
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
de Eminusmail
C
Provedor
Redes Residenciais(DSL Cabo Dialminusup etc) dos Remetentes (MTAs)
Provedores de Eminusmaildos Destinataacuterios (MTAs)
Provedores de Eminusmail
25TCP
25TCP
25TCP
de Eminusmail
A
Provedor
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 921
Abuso ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
B8000TCP
1080TCP
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCPde Eminusmail
A
Provedor
25TCP
3382TCP
6588TCP
de Eminusmail
C
Provedor
dos Destinataacuterios (MTAs)Provedores de Eminusmail
dos Remetentes (MTAs)Provedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
Spammers
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1021
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Agenda
O Problema do Abuso de Proxies AbertosReclamacoes de Spam ao CERTbrResultados do Projeto SpamPots
Como Este Abuso Acontece
Padroes e Polıticas Disponıveis para Mitigar o ProblemaEvolucao dos PadroesImpacto
Benefıcios
Referencias
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 221
O Problema doAbuso de Proxies Abertos
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 321
Reclamacoes de Spam ao CERTbr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 421
Resultados do Projeto SpamPotsMetricas sobre o Abuso de Redes de Banda Larga para o Enviode Spam
bull Mantido pelo CGIbrNICbr como parte da CT-Spambull 10 honeypots de baixa interatividade
ndash 5 operadoras diferentes de cabo e DSLndash em conexoes residenciais e comerciais
Perıodo de coleta 10062006a 18092007
Dias coletados 466Total de emails 524585779Emailsdia 12 milhoesDestinatarios 4805521964Destinatariosspam 916IPs unicos 216888ASNs unicos 3006Country Codes 165
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 521
Portas Abusadas
Porta Protocolo Servico
1080 SOCKS socks 37318080 HTTP http 3479
80 HTTP http 10923128 HTTP Squid 6178000 HTTP http 2766588 HTTP AnalogX 229
25 SMTP smtp 1464480 HTTP Proxy+ 1383127 SOCKS MyDoom 1003382 HTTP Sobigf 096
81 HTTP http 096
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 621
Tentativas de Saıda de Trafego
HTTPTipo Requisicoes
Saıda para 25TCP 89496969 9762Saıda para outras 106615 012get (geralmente web) 225802 025Erros 1847869 201Total 91677255 10000
SOCKSTipo Requisicoes
Saıda para 25TCP 46776884 8731Saıda para outras 1055081 197Erros 5741908 1072Total 53573873 10000
Obs Para este calculo considerou-se apenas a primeira tentativa decada endereco IP
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 721
Como EsteAbuso Acontece
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 821
Uso Legıtimo ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
PrimergyProvedor
Provedor
de Eminusmail
Z
B
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
de Eminusmail
C
Provedor
Redes Residenciais(DSL Cabo Dialminusup etc) dos Remetentes (MTAs)
Provedores de Eminusmaildos Destinataacuterios (MTAs)
Provedores de Eminusmail
25TCP
25TCP
25TCP
de Eminusmail
A
Provedor
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 921
Abuso ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
B8000TCP
1080TCP
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCPde Eminusmail
A
Provedor
25TCP
3382TCP
6588TCP
de Eminusmail
C
Provedor
dos Destinataacuterios (MTAs)Provedores de Eminusmail
dos Remetentes (MTAs)Provedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
Spammers
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1021
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
O Problema doAbuso de Proxies Abertos
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 321
Reclamacoes de Spam ao CERTbr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 421
Resultados do Projeto SpamPotsMetricas sobre o Abuso de Redes de Banda Larga para o Enviode Spam
bull Mantido pelo CGIbrNICbr como parte da CT-Spambull 10 honeypots de baixa interatividade
ndash 5 operadoras diferentes de cabo e DSLndash em conexoes residenciais e comerciais
Perıodo de coleta 10062006a 18092007
Dias coletados 466Total de emails 524585779Emailsdia 12 milhoesDestinatarios 4805521964Destinatariosspam 916IPs unicos 216888ASNs unicos 3006Country Codes 165
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 521
Portas Abusadas
Porta Protocolo Servico
1080 SOCKS socks 37318080 HTTP http 3479
80 HTTP http 10923128 HTTP Squid 6178000 HTTP http 2766588 HTTP AnalogX 229
25 SMTP smtp 1464480 HTTP Proxy+ 1383127 SOCKS MyDoom 1003382 HTTP Sobigf 096
81 HTTP http 096
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 621
Tentativas de Saıda de Trafego
HTTPTipo Requisicoes
Saıda para 25TCP 89496969 9762Saıda para outras 106615 012get (geralmente web) 225802 025Erros 1847869 201Total 91677255 10000
SOCKSTipo Requisicoes
Saıda para 25TCP 46776884 8731Saıda para outras 1055081 197Erros 5741908 1072Total 53573873 10000
Obs Para este calculo considerou-se apenas a primeira tentativa decada endereco IP
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 721
Como EsteAbuso Acontece
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 821
Uso Legıtimo ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
PrimergyProvedor
Provedor
de Eminusmail
Z
B
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
de Eminusmail
C
Provedor
Redes Residenciais(DSL Cabo Dialminusup etc) dos Remetentes (MTAs)
Provedores de Eminusmaildos Destinataacuterios (MTAs)
Provedores de Eminusmail
25TCP
25TCP
25TCP
de Eminusmail
A
Provedor
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 921
Abuso ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
B8000TCP
1080TCP
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCPde Eminusmail
A
Provedor
25TCP
3382TCP
6588TCP
de Eminusmail
C
Provedor
dos Destinataacuterios (MTAs)Provedores de Eminusmail
dos Remetentes (MTAs)Provedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
Spammers
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1021
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Reclamacoes de Spam ao CERTbr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 421
Resultados do Projeto SpamPotsMetricas sobre o Abuso de Redes de Banda Larga para o Enviode Spam
bull Mantido pelo CGIbrNICbr como parte da CT-Spambull 10 honeypots de baixa interatividade
ndash 5 operadoras diferentes de cabo e DSLndash em conexoes residenciais e comerciais
Perıodo de coleta 10062006a 18092007
Dias coletados 466Total de emails 524585779Emailsdia 12 milhoesDestinatarios 4805521964Destinatariosspam 916IPs unicos 216888ASNs unicos 3006Country Codes 165
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 521
Portas Abusadas
Porta Protocolo Servico
1080 SOCKS socks 37318080 HTTP http 3479
80 HTTP http 10923128 HTTP Squid 6178000 HTTP http 2766588 HTTP AnalogX 229
25 SMTP smtp 1464480 HTTP Proxy+ 1383127 SOCKS MyDoom 1003382 HTTP Sobigf 096
81 HTTP http 096
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 621
Tentativas de Saıda de Trafego
HTTPTipo Requisicoes
Saıda para 25TCP 89496969 9762Saıda para outras 106615 012get (geralmente web) 225802 025Erros 1847869 201Total 91677255 10000
SOCKSTipo Requisicoes
Saıda para 25TCP 46776884 8731Saıda para outras 1055081 197Erros 5741908 1072Total 53573873 10000
Obs Para este calculo considerou-se apenas a primeira tentativa decada endereco IP
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 721
Como EsteAbuso Acontece
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 821
Uso Legıtimo ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
PrimergyProvedor
Provedor
de Eminusmail
Z
B
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
de Eminusmail
C
Provedor
Redes Residenciais(DSL Cabo Dialminusup etc) dos Remetentes (MTAs)
Provedores de Eminusmaildos Destinataacuterios (MTAs)
Provedores de Eminusmail
25TCP
25TCP
25TCP
de Eminusmail
A
Provedor
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 921
Abuso ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
B8000TCP
1080TCP
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCPde Eminusmail
A
Provedor
25TCP
3382TCP
6588TCP
de Eminusmail
C
Provedor
dos Destinataacuterios (MTAs)Provedores de Eminusmail
dos Remetentes (MTAs)Provedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
Spammers
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1021
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Resultados do Projeto SpamPotsMetricas sobre o Abuso de Redes de Banda Larga para o Enviode Spam
bull Mantido pelo CGIbrNICbr como parte da CT-Spambull 10 honeypots de baixa interatividade
ndash 5 operadoras diferentes de cabo e DSLndash em conexoes residenciais e comerciais
Perıodo de coleta 10062006a 18092007
Dias coletados 466Total de emails 524585779Emailsdia 12 milhoesDestinatarios 4805521964Destinatariosspam 916IPs unicos 216888ASNs unicos 3006Country Codes 165
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 521
Portas Abusadas
Porta Protocolo Servico
1080 SOCKS socks 37318080 HTTP http 3479
80 HTTP http 10923128 HTTP Squid 6178000 HTTP http 2766588 HTTP AnalogX 229
25 SMTP smtp 1464480 HTTP Proxy+ 1383127 SOCKS MyDoom 1003382 HTTP Sobigf 096
81 HTTP http 096
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 621
Tentativas de Saıda de Trafego
HTTPTipo Requisicoes
Saıda para 25TCP 89496969 9762Saıda para outras 106615 012get (geralmente web) 225802 025Erros 1847869 201Total 91677255 10000
SOCKSTipo Requisicoes
Saıda para 25TCP 46776884 8731Saıda para outras 1055081 197Erros 5741908 1072Total 53573873 10000
Obs Para este calculo considerou-se apenas a primeira tentativa decada endereco IP
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 721
Como EsteAbuso Acontece
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 821
Uso Legıtimo ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
PrimergyProvedor
Provedor
de Eminusmail
Z
B
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
de Eminusmail
C
Provedor
Redes Residenciais(DSL Cabo Dialminusup etc) dos Remetentes (MTAs)
Provedores de Eminusmaildos Destinataacuterios (MTAs)
Provedores de Eminusmail
25TCP
25TCP
25TCP
de Eminusmail
A
Provedor
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 921
Abuso ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
B8000TCP
1080TCP
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCPde Eminusmail
A
Provedor
25TCP
3382TCP
6588TCP
de Eminusmail
C
Provedor
dos Destinataacuterios (MTAs)Provedores de Eminusmail
dos Remetentes (MTAs)Provedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
Spammers
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1021
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Portas Abusadas
Porta Protocolo Servico
1080 SOCKS socks 37318080 HTTP http 3479
80 HTTP http 10923128 HTTP Squid 6178000 HTTP http 2766588 HTTP AnalogX 229
25 SMTP smtp 1464480 HTTP Proxy+ 1383127 SOCKS MyDoom 1003382 HTTP Sobigf 096
81 HTTP http 096
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 621
Tentativas de Saıda de Trafego
HTTPTipo Requisicoes
Saıda para 25TCP 89496969 9762Saıda para outras 106615 012get (geralmente web) 225802 025Erros 1847869 201Total 91677255 10000
SOCKSTipo Requisicoes
Saıda para 25TCP 46776884 8731Saıda para outras 1055081 197Erros 5741908 1072Total 53573873 10000
Obs Para este calculo considerou-se apenas a primeira tentativa decada endereco IP
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 721
Como EsteAbuso Acontece
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 821
Uso Legıtimo ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
PrimergyProvedor
Provedor
de Eminusmail
Z
B
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
de Eminusmail
C
Provedor
Redes Residenciais(DSL Cabo Dialminusup etc) dos Remetentes (MTAs)
Provedores de Eminusmaildos Destinataacuterios (MTAs)
Provedores de Eminusmail
25TCP
25TCP
25TCP
de Eminusmail
A
Provedor
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 921
Abuso ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
B8000TCP
1080TCP
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCPde Eminusmail
A
Provedor
25TCP
3382TCP
6588TCP
de Eminusmail
C
Provedor
dos Destinataacuterios (MTAs)Provedores de Eminusmail
dos Remetentes (MTAs)Provedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
Spammers
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1021
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Tentativas de Saıda de Trafego
HTTPTipo Requisicoes
Saıda para 25TCP 89496969 9762Saıda para outras 106615 012get (geralmente web) 225802 025Erros 1847869 201Total 91677255 10000
SOCKSTipo Requisicoes
Saıda para 25TCP 46776884 8731Saıda para outras 1055081 197Erros 5741908 1072Total 53573873 10000
Obs Para este calculo considerou-se apenas a primeira tentativa decada endereco IP
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 721
Como EsteAbuso Acontece
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 821
Uso Legıtimo ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
PrimergyProvedor
Provedor
de Eminusmail
Z
B
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
de Eminusmail
C
Provedor
Redes Residenciais(DSL Cabo Dialminusup etc) dos Remetentes (MTAs)
Provedores de Eminusmaildos Destinataacuterios (MTAs)
Provedores de Eminusmail
25TCP
25TCP
25TCP
de Eminusmail
A
Provedor
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 921
Abuso ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
B8000TCP
1080TCP
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCPde Eminusmail
A
Provedor
25TCP
3382TCP
6588TCP
de Eminusmail
C
Provedor
dos Destinataacuterios (MTAs)Provedores de Eminusmail
dos Remetentes (MTAs)Provedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
Spammers
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1021
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Como EsteAbuso Acontece
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 821
Uso Legıtimo ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
PrimergyProvedor
Provedor
de Eminusmail
Z
B
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
de Eminusmail
C
Provedor
Redes Residenciais(DSL Cabo Dialminusup etc) dos Remetentes (MTAs)
Provedores de Eminusmaildos Destinataacuterios (MTAs)
Provedores de Eminusmail
25TCP
25TCP
25TCP
de Eminusmail
A
Provedor
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 921
Abuso ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
B8000TCP
1080TCP
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCPde Eminusmail
A
Provedor
25TCP
3382TCP
6588TCP
de Eminusmail
C
Provedor
dos Destinataacuterios (MTAs)Provedores de Eminusmail
dos Remetentes (MTAs)Provedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
Spammers
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1021
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Uso Legıtimo ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
PrimergyProvedor
Provedor
de Eminusmail
Z
B
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
de Eminusmail
C
Provedor
Redes Residenciais(DSL Cabo Dialminusup etc) dos Remetentes (MTAs)
Provedores de Eminusmaildos Destinataacuterios (MTAs)
Provedores de Eminusmail
25TCP
25TCP
25TCP
de Eminusmail
A
Provedor
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 921
Abuso ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
B8000TCP
1080TCP
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCPde Eminusmail
A
Provedor
25TCP
3382TCP
6588TCP
de Eminusmail
C
Provedor
dos Destinataacuterios (MTAs)Provedores de Eminusmail
dos Remetentes (MTAs)Provedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
Spammers
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1021
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Abuso ndash Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
B8000TCP
1080TCP
25TCP
25TCP
80TCP
80TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCP
25TCPde Eminusmail
A
Provedor
25TCP
3382TCP
6588TCP
de Eminusmail
C
Provedor
dos Destinataacuterios (MTAs)Provedores de Eminusmail
dos Remetentes (MTAs)Provedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
Spammers
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1021
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Padroes e Polıticas Disponıveis
para Mitigar o Problema
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1121
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Evolucao dos PadroesSMTP definido como um protocolo de transferencia demensagens (mas tambem usado como protocolo desubmissao)
1982 ldquoRFC 821 Simple Mail Transfer Protocolrdquo(Standards Track obsoleto)
2001 ldquoRFC 2821 Simple Mail Transfer Protocolrdquo(Standards Track)
Diferenciacao entre transporteentrega e submissao1998 ldquoRFC 2476 Message Submissionrdquo (Standards
Track obsoleto)2006 ldquoRFC 4409 Message Submission for Mailrdquo
(Standards Track)2007 ldquoRFC 5068 Email Submission Operations Access
and Accountability Requirementsrdquo (BCP 134)LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1221
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Gerencia de Porta 25
bull requerer autenticacao para a submissao de mensagenscomo recomendado na RFC 4954
bull nao interferir no trafego para a porta 587TCPbull configurar o software cliente de email para usar porta
587TCP e autenticacaobull bloquear acesso de saıda para porta 25TCP a partir de
todas as maquinas que nao sejam MTAs ou explicitamenteautorizadas
Fonte Managing Port 25 for Residential or Dynamic IP Space ndash Benefits ofAdoption and Risks of Inaction ndash httpwwwmaawgorgport25
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1321
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Foruns Discutindo Gerencia de Porta 25
bull Messaging Anti-Abuse Working Group ndash MAAWGhttpwwwmaawgorgport25
bull London Action Plan ndash LAPbull EUrsquos Contact Network of Spam Authorities ndash
CNSAbull Comissao de Trabalho Anti-Spam ndash CT-Spam
ndash 21062005 seminario com teles e provedoresndash 15122005 discussao na Anatel (Agencia Nacional de
Telecomunicacoes) com telesndash 22022008 nova discussao com Anatel e teles
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1421
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinataacuteriosProvedores de Eminusmail
de Eminusmail
A
Provedor
dos RemetentesProvedores de EminusmailRedes Residenciais
(DSL Cabo Dialminusup etc)Malware
SpammersFraudadores
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de Eminusmail
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP
25TCP
25TCP
25TCP
587TCP (MSA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1521
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Quem Adota Gerencia de Porta 25bull Membros do MAAWG incluindo AOL Comcast e Earthlinkbull Referencias on-line sobre quem adota
ndash The Only Good Spam Comes from Hormel loginMagazine February 2005httpwwwusenixorgpublicationslogin2005-02openpdfsmotdpdf
ndash Earthlink blocks port 25 outgoing Oct 2000httpwwwbroadbandreportscomshownews492
ndash Blocking Port 25 Traffic ndash lsquoMyDoomrsquo virus reheats thediscussion Jan 2004httpwwwbroadbandreportscomshownews38004
ndash Comcast takes hard line against spam Jun 2004httpnewszdnetcom2100-3513 22-5230615html
ndash Providers That Block Port 25httpkbearthlinknetcaseasparticle=resid9226
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1621
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Possıvel Abuso do Novo Cenario
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
587TCP (MSA) (MTA) 25TCP (MTA)
Redes Residenciais(DSL Cabo Dialminusup etc)
Malware
SpammersFraudadores
B
de Eminusmail
Z
Provedor
de Eminusmail
X
Provedor
de Eminusmail
Y
Provedor
de Eminusmail
C
Provedor
dos DestinataacuteriosProvedores de Eminusmail
dos RemetentesProvedores de Eminusmail
de Eminusmail
de Eminusmail
A
Provedor
8000TCP
1080TCP
25TCP
25TCP
25TCP
25TCP
3382TCP
6588TCP25TCP
25TCP
587TCP (MSA)
25TCP
587TCP (MSA)
587TCP (MSA)
80TCP (MSA)
80TCP (MSA)
(MTA) (MTA)
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1721
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Benefıcios (12)
bull Saıda dos blocos da operadora de listas debloqueio
bull Diminuicao de reclamacoes de usuariosbull Dificultar o uso da infra-estrutura da operadora
para atividades ilıcitasndash emails de fraude sao geralmente enviados via entrega diretandash assim como os dados capturados das vıtimas
bull Aumento de rastreabilidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1821
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Benefıcios (22)
bull Diminuicao de vırus propagados por email(email-borne viruses)
bull Proatividadendash atuar na submissao antes da mensagem entrar na
infra-estrutura de email
bull Percepcao positiva pelos clientes e pelacomunidade
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 1921
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Referencias (12)
bull RFC 3207 SMTP Service Extension for Secure SMTP overTransport Layer Securityhttpwwwietforgrfcrfc3207txt
bull RFC 4409 Message Submission for Mailhttpwwwietforgrfcrfc4409txt
bull RFC 4954 SMTP Service Extension for Authenticationhttpwwwietforgrfcrfc4954txt
bull RFC 5068 Email Submission Operations Access andAccountability Requirementshttpwwwietforgrfcrfc5068txt
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2021
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-
Referencias (22)
bull Managing Port 25 for Residential or Dynamic IP Space Benefitsof Adoption and Risks of Inactionhttpwwwmaawgorgport25
bull Tecnologias e Polıticas para Combate ao Spamhttpwwwcertbrdocsct-spam
bull Resultados Preliminares do Projeto SpamPotshttpwwwcertbrdocswhitepapersspampots
bull CERTbrhttpwwwcertbr
bull NICbrhttpwwwnicbr
bull CGIbrhttpwwwcgibr
LACNIC XI ndash Salvador BA Brasil ndash Maio2008 ndash p 2121
- Agenda
- O Problema do Abuso de Proxies Abertos
-
- Reclamaccedilotildees de Spam ao CERTbr
- Resultados do Projeto SpamPots
-
- Como Este Abuso Acontece
- Padrotildees e Poliacuteticas Disponiacuteveis para Mitigar o Problema
-
- Evoluccedilatildeo dos Padrotildees
- Impacto
-
- Benefiacutecios
- Referecircncias
-