[LACNIC/Seguridad] [Seguridad] Nuevo código de conducta anti-spam en Australia

Webmaster webmaster en comtron.com.ar
Vie Abr 21 12:59:13 BRT 2006 

Jorge:

Me resultan muy agradables de leer tus comentarios. Son realmente instructivos 
y amenos.

Y creo que este comentario va un poco en sintonía con lo que le comento al 
final de mi respuesta a Lucas. Buscar soluciones rápidas, sencillas y 
baratas.

Por el momento, la única contra que le veo al sistema de filtrado de salida 
por puerto 25 en los ISPs de banda ancha es que algunos de los que tenemos 
nuestros servidores smtp propios en otras redes vamos a depender, en gran 
manera, de la confiabilidad y estabilidad del smtp de nuestro ISP.
Pero también estoy convencido que, si el ISP adopta una posición activa en la 
lucha contra el spam, no va a dejar dichos servidores mal configurados y va a 
disponer suficientes recusor para que funcionen adecuadamente.
(Ver un caso testigo en 
http://www.speedyapesta.com.ar/index.php?name=News&file=article&sid=64 )

Por esto es que, al menos de mi parte, y aunque me pueda resultar en algunas 
incomodidades, considero que una de las primeras medidas a tomar sea esta del 
filtrado. Si con esto ya podemos disminiur un 90 % el spam, como dice 
Reinaldo, estamos dando un paso MUY importante.
También coincido con el en que se debe cerrar y permitir excepciones, aunque 
despues de la lectura de tu mensaje, puede que el costo de las excepciones 
tenga que ser asumido por quienes las necesitan y tendrán que poner en la 
balanza dicho costo contra la implementación de otro método de comunicación.

De paso, y ya que lo nombré a Reinaldo, aprovecho para comentarle que no estoy 
subestimando al usuario, y que acepte mi disculpa si se interpreta de esa 
manera. Mi problema es de visión limitada. Mi trabajo no llega al contacto 
directo con la "capa 8" y mi propia visión de usuario frente al espejo puede 
diferir bastante de un "promedio", si es que se me permite la licencia de 
catalogarlo de esta manera.

Saludos

Javier



El Viernes, 21 de Abril de 2006 11:45, Jorge F. Messano escribió:
> Javier
>
> Respecto de tu pregunta.
>
> > Dicho sea de paso, ¿alguna solución a la generación de spam desde cuentas
> > residenciales que no implique filtrar la salida por puerto 25?
>
> Si, hay soluciones realmente efectivas.
> La mala noticia es que el costo (inversion/operativo) y el esfuerzo
> logistico que implican es una barrera que no todos los ISPs pueden cruzar,
> y por otro lado, los resultados que se obtienen califican de alguna manera
> donde tiene sentido implementarlas.
>
> Una de ellas es el filtrado del puerto 25 25 saliente en el borde de la red
> del ISP, abriendolo solo para aquellos usuarios que justifiquen la
> necesidad de acceder a SMTP servers fuera de la red del ISP en cuestion.
>
> Parece facil, pero no lo es tanto.
> Notese que el filtrado es por usuario... las redes de acceso a Internet
> (mientras no implementemos IPv6 :-)) utilizan asignacion dinamica, por lo
> que un simple "access lists" por IP no es aplicable, debiendose hacer el
> filtrado a nivel de usuario, lo cual requiere sistemas mas costosos.
> A este costo, hay que sumarle el costo operativo de gestionar la "lista de
> acceso"... incluyendo desde el personal para responder objeciones en la
> mesa de ayuda hasta el desarrollo de las herramientas para automatizar el
> proceso.
>
> Estos costos pueden ser incrementales o no dependiento de la magnitud del
> ISP... pero en ambos casos no se nos debe escapar que el negocio del acceso
> a Internet es un "commodity", y por lo tanto cualquier costo adicional por
> minimo que sea afecta inmediatamente el resultado de la operacion.
>
> Ahora bien, ¿se justifica aplicar esta politica?
> Si, obviamente se justifica... pero desde el punto de vista de los
> resultados, solo tiene sentido implementarla en aquellos ISPs que operan
> redes de banda ancha propias, con gran numero de suscriptores.
> En casos de redes dial up, el resultado es minimo... no justifica el
> esfuerzo.
>
> Ejemplos de quienes implementaron esta medida?
> Hasta donde recuerdo, Arnet (Telecom) en Argentina, durante 2004 con buenos
> resultados.
>
>
> Otra solucion adicional y de buen resultado es utilizar el viejo y olvidado
> puerto 587 (Mail Submition Port) en lugar del puerto 25... Hay un buen RFC
> que habla de esto:
> http://www.ietf.org/internet-drafts/draft-hutzler-spamops-05.txt.
> Pero de vuelta, implica un costo logistico tremendo...
> Simplemente pensar en que hay que reconfiguar todos los clientes de correo
> de los usuarios ya genera acidez de estomago.
>
> Saludos
>   Jorge Messano
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> http://lacnic.net/mailman/listinfo/seguridad

-- 
Javier Salinas
Director de Operaciones
Comtron Comercio Electrónico
www.comtron.com.ar

Más información sobre la lista de distribución Seguridad