O Comitê gestor da Internet no Brasil (CGI.br), mantém um domínio na Web onde administradores e usuários de serviços de e-mail encontram informações sobre este serviço que é tão importante para os dias atuais[1].
De acordo com o IDC, em uma pesquisa sobre o comportamento do usuário Internet realizada em 2007 e publicada em Fevereiro de 2008, 76% dos Internautas com mais de 15 anos e residentes nos EUA, usam este serviço com maior frequência[2] do que os demais. No caso do Brasil, segundo a pesquisa TIC 2008[3] realizada pelo CETIC.Br (Centro de Estudo sobre as TICs) o uso de e-mails em por usuários do nosso país correspondem a cerca de 26%.
Embora os valores sejam bem diferentes entre ambos os países devemos considerar a diferença nas metodologias, cultura local e demais variáveis que devem ser avaliadas. Mas em todo o caso tais dados demonstram a importância de tal serviço que não deve ser subestimado.
Apreciação do conteúdo
É notório a todos os interessados no uso de sistemas de e-mails que o problema dos spams, vírus e demais malwares que recebemos todos os dias em nossas caixas de entrada não são problemas de uma só entidade que deve ser personificada no usuário ou no administrador do sistema, mas estes são problemas cuja responsabilidade por resolvê-lo depende da participação e colaboração mútua de todos, para que no caso de falha de um dos lados o outro possa contrabalancear e ajudar a minimizar os males oriundos da mesma.
O citado site o CGI.Br apresenta informações relevantes a todos os envolvidos com o serviço de e-mails[1], mas um dos documentos em particular merece destaque já que é dirigido a nós administradores de sistemas. O documento entitulado Gerência e Porta 25[4], disponível no site Antispam.br apresenta um conjunto de políticas e padrões que podem ser usados em redes de usuários finais ou mesmo de carácter residencial para mitigar o abuso de proxies abertos e máquinas infectadas para o envio de spams e ainda para aumentar a facilidade de se rastrear fraudadores e spammers.
O documento é divido em em cinco seções, disponibilizadas gratuitamente para leitura online em formato HTML a partir de qualquer navegador WEB, bastando apenas que o leitor interessado tenha acesso a Internet disponível para acessar o endereço do documento.
1 Como Ocorre o Abuso das Redes
Na primeira seção e apresentado um cenário e alguns dados estatísticos sobre o abuso de redes brasileiras de usuários finais ou de caráter residencial para o envio de spam.
Os dados apresentados pelo nesta seção que foram coletados durante um período de 15 meses resultando em gráfico que demonstra as formas mais comuns de envio de spams e o desfecho relata um dado ainda mais triste como citado abaixo:
O Brasil tem sido, historicamente, o país com o maior número de endereços IP listados na “CBL breakdown by country“, respondendo por mais de 10% de todos os IPs listados.
2 O que é Gerência de Porta 25
A segunda seção apresenta o conteúdo principal deste documento e é onde o leitor encontrará as recomendações e padrões que fazem parte do processo de gerência de tráfego de saída para a porta 25/TCP.
Estas recomendações e padrões são baseadas na RFC4409[5], RFC4954[6] e RFC 5068[7] entre outros documentos e dentre as principais encontramos já tão recomendada autenticação dos usuários, que não ocorre com frequência e importância que deveria ocorrer.
3 Benefícios da Adoção
Esta seção é bem curta e relata a importância da adoção deste padrão e os benefícios para as redes que o adotam. Embora a lista seja composta por apenas 7 itens, estes são os principais, senão todos os problemas que sofremos com e-mails e talvez de todos eles o que mais deve atrair a administradores a adotá-lo é exatamente o que se refere a diminuição de custos operacionais, já que em um mundo cada vez mais conectado, toda banda disponível e aproveitada com fim legítimo é de bom grado.
4 Quem Adota ou Recomenda esta Prática
Diversos países e organizações recomendam a adoção de gerência de porta 25/TCP para a redução do spam enviado a partir de máquinas infectadas ou com proxies abertos. Da mesma forma que diversas redes já adotam esta recomendação. Por conta disso é apresentado aqui uma lista de redes que adotaram a gerência de porta 25, bem como surveys e recomendações de adoção por diversos países.
5 Documentos, Palestras, Howtos e RFCs sobre o Assunto
A última seção do documento contém uma lista de referências que são de leitura praticamente obrigatória para quem está tendo mais problemas com spams do que esperaria. Vale a pena ler cada um destes arquivos, principalmente se tiver restado ainda alguma dúvida sobre o assunto.
Considerações Finais
O texto disponibilizado pelo CGI.Br sobre gerencia de porta 25 é de leitura obrigatória por administradores de sistemas de e-mails. As recomendações nele apresentadas são bem conhecidas, mas não muito difundidas. Nestes poucos anos que tenho como gerente de sistemas de e-mails e participante ativo de algumas listas de discussão sobre segurança, vejo que é comum tais dúvidas e quase que diariamente surge um novo questionamento sobre como minimizar os prejuízos com spams.
A relação de palestras e também de Howtos disponíveis na última seção pode ser um bom incentivo para que estas práticas sejam adotadas minimizando assim os problemas com uma das mais comum pragas virtuais que assolam os servidores e os administradores do mundo inteiro, o Spam.
Referências bibliográficas
[1] Comitê Gestor da Internet no Brasil. Antispam.br. Disponível em <http://www.antispam.br/> Acessado em 21-Abril-2009>.
[2] WEIDE, Karsten; SHIRER, Michael. IDC Finds Online Consumers Spend Almost Twice as Much Time Using the Internet as Watching TV. Disponível em <http://www.idc.com/getdoc.jsp?containerId=prUS21096308>. Acessado em 23-Abril-2009.
[3] Centro de Estudos sobre as TICs. PESQUISA SOBRE O USO DAS TECNOLOGIAS DE INFORMAÇÃO E DE COMUNICAÇÃO NO BRASIL. Disponível em <http://www.cetic.br/usuarios/tic/2008/analise-tic-domicilios2008.pdf>. Acessado em 20-Abril-2009.
[4] Comitê Gestor da Internet no brasil. Gerência de porta 25. Disponível em <http://www.antispam.br/admin/porta25/> Acessado em 20-Abril-2009.
[5] Network Working Group/Internet Engeenering Task Force. Request for Comments 4409 (RFC4409 – Message Submission for Mail). Abr. 2006. Disponível em <http://tools.ietf.org/html/rfc4409>. Acessado em 23-04-2009.
[6] Network Working Group/Internet Engeenering Task Force. Request for Comments 4954 (RFC4954 – SMTP Service Extension for Authentication). Jul. 2007. Disponível em <http://tools.ietf.org/html/rfc4954>. Acessado em 23-04-2009.
[7] Network Working Group/Internet Engeenering Task Force. Request for Comments 5068 (RFC5068 – Email Submission Operations: Access and Accountability Requirements). Nov. 2007. Disponível em <http://tools.ietf.org/html/rfc5068>. Acessado em 23-04-2009.