<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
Dice un refrán popular: ni tan calvo ni con dos pelucas...<br>
<br>
El problema es que nos estamos moviendo en los extremos. Veamos:<br>
<br>
<meta http-equiv="CONTENT-TYPE" content="text/html; charset=utf-8">
<title></title>
<meta name="GENERATOR" content="OpenOffice.org 1.9.129  (Linux)">
<meta name="AUTHOR" content="Reinaldo Mayol">
<meta name="CREATED" content="20060421;3010800">
<meta name="CHANGED" content="20060421;10125000">
<style>
        <!--
                @page { size: 21cm 29.7cm; margin: 2cm }
                P { margin-bottom: 0.21cm }
        --></style>-
Cerrar por omisión el tráfico saliente a puerto 25. Funcionará en el 90
% de los casos. El problema es cuando se hace sin excepciones.
Recuerden que una de las bases de cualquier sistema de seguridad es
poner un grupo de alcabalas ( o sitios de control). Eventualmente
alguien los podrá pasar todos,  pero la mayoría de las condiciones de
riesgo podrán evitarse en alguna.  RESUMIENDO: en mi opinión se debe
cerrar y permitir excepciones. <br>
- El uso de SMTP_AUTH+TLS es otra cosa. Efectivamnte utilizarlo evitará
multiples problemas, pero no es uno de ellos el que los sistemas
generadores de virus, spam,etc... no lo usen. Realmente hace el trabajo
de esos sistemas más complejo pero no hay argumentos técnicamente
sostenibles para que no lleguen a hacerlo.  Así que hay que usarlo pero
no creer que es una solución permanente y definitiva. <br>
<br>
Creo que el fondo de las dos posiciones radican visiones de extremo.
Una que subestima los derechos y necesidades de los usuarios con el
argumento de " tener todo bien de capa 7 para abajo". El problema es
que esa posición no acepta que no hay capas 1-7 sin capa 8, sin la cual
poco importan las otras 7. <br>
<br>
La otra posición por liberal (que en el fondo es lo más cercano al
anarquismo) termina cerrando los ojos a los pequeños detalles del día a
día y no acepta la importancia de ir paso a paso. <br>
<br>
Si hay mejores soluciones adelante, pero mientras tanto hay que ir
tomando decisiones de día a día. Eso si, comprendiendo sus limitaciones
y objetivos. <br>
<br>
S'<br>
mayol<br>
<br>
<br>
Lucas G. Obredor wrote:<br>
<br>
<span style="white-space: pre;">> Creo que el punto de vista que
expresa el Sr. Nicolás es totalmente valido, con solo leer los
argumentos que expresa y de la forma que lo hace uno puede darse
cuenta. Por otra parte, aunque esta muy bien redactado, el mail de esta
ultima persona me parece un tanto extremista y fuera de lugar.<br>
> <br>
> Muchas gracias,<br>
> <br>
><br>
> *Lucas G. Obredor*<br>
><br>
> *Tecnología y Nuevos Servicios*<br>
><br>
> Pte. Perón 1783 – San Miguel<br>
><br>
> ' (5411) 4469-7490<br>
> * <a class="moz-txt-link-abbreviated" href="mailto:lobredor@telered.net.ar">lobredor@telered.net.ar</a><br>
><br>
> -----Mensaje original-----<br>
> *De:* <a class="moz-txt-link-abbreviated" href="mailto:seguridad-bounces@lacnic.net">seguridad-bounces@lacnic.net</a>
[<a class="moz-txt-link-freetext" href="mailto:seguridad-bounces@lacnic.net">mailto:seguridad-bounces@lacnic.net</a>]*En nombre de *Webmaster Comtron<br>
> *Enviado el:* Viernes, 21 de Abril de 2006 10:02<br>
> *Para:* <a class="moz-txt-link-abbreviated" href="mailto:seguridad@lacnic.net">seguridad@lacnic.net</a><br>
> *Asunto:* Re: [LACNIC/Seguridad] [Seguridad] Nuevo código de
conducta anti-spam en Australia<br>
><br>
> Nicolás:<br>
><br>
> Saliendo un poco de la parte técnica, me parece algo arriesgado
hablar de un "derecho" a conectarte a un puerto determinado en el otro
punto del mundo. Seguramente, eso algún día caerá en manos de algunos
abogados y se dedicarán a discernir si el acceso a Internet es un
"derecho humano", divino o terrenal, en fin, a ponerle los títulos.<br>
> Mientras tanto, la mayoría de los que estamos en esta lista
tratamos de no ir mas arriba de la capa 7 y asegurarnos que todo lo que
está por debajo nos funcione como se debe.<br>
> Por eso, y aunque te suene algo duro mi comentario, tus razones
son atendibles pero tremendamente egoistas.<br>
> Porque poner solo "MI" problema como excusa y no considerar el
problema de recibir miles de spam en los usuarios, cientos de gigas de
consumo de ancho de banda inútil, saturación de redes, etc, etc, no veo
que se le pueda poner otro calificativo.<br>
><br>
> Si por mi fuera, ni en coma alcoholico permito que Telefónica se
ocupe de que mis mails lleguen a destino. Pero tengo que mirar un poco
mas allá de mi conveniencia puntual antes de escribir una crítica a lo
que se propone.<br>
> Dicho sea de paso, ¿alguna solución a la generación de spam desde
cuentas residenciales que no implique filtrar la salida por puerto 25?<br>
><br>
> Saludos<br>
><br>
> Javier<br>
><br>
> Nicolás Ruiz escribió:<br>
></span><br>
<blockquote type="cite">Marcelo Maraboli wrote:<br>
  <br>
  <br>
  <br>
>- todos los computadores (PC) tienen denegado salida a Internet<br>
>hacia el puerto 25 SMTP, a excepción de servidores SMTP autorizados.<br>
>Parece simple, pero he visto varias empresas que no lo tienen <br>
>habilitado. Esto erradica la emisión de emails provocados por virus,<br>
>erradica el SPAM generado internamente, etc..<br>
  <br>
  <br>
  <br>
Entiendo las buenas intenciones, pero me parecen mal dirigidas. Como<br>
usuario de un PC, considero que tengo el derecho de conectarme al puerto<br>
25 de otros equipos en el mundo, y puedo tener varias razones valederas<br>
para hacerlo:<br>
  <br>
- Yo tengo un servidor SMTP en mi PC.<br>
- El sistema de versión de control distribuido que utilizo puede<br>
intercambiar data con servidores remotos via SMTP.<br>
  <br>
  <br>
  <br>
>- para enviar email, la única manera es vía SMTP_AUTH + TLS. Si<br>
>algún usuario se infecta con virus/emailer, no podrá enviar porque<br>
>dichos emisores son SMTP simples y no entienden TLS. En cada email<br>
>(como este) verán la autenticación realizada y por ende<br>
>el receptor puede validar al emisor. Muchas empresas instalan<br>
>SMTP_AUTH y no agregan el header correspondiente, por lo que el<br>
>receptor igual no tiene forma de verificar al emisor.<br>
  <br>
  <br>
  <br>
La única razón por la cual los virus/emailers utilizan SMTP sencillo y<br>
no entienden TLS es porque sirve para enviar correo. En el momento que<br>
se restrinja, implementarán las funcionalidades necesarias. Ojo que no<br>
quiero decir que no sirva de nada, pero no es una solución permanente.<br>
  <br>
--<br>
Juan Nicolás Ruiz        | Corporación Parque Tecnológico de Mérida<br>
Investigación/Desarrollo | Centro de Tecnologias de Información<br>
<a class="moz-txt-link-abbreviated" href="mailto:nicolas@ula.ve">nicolas@ula.ve</a>           | Edif B (Fac. Ingeniería) Nivel Plaza, Ala Sur<br>
+58-(0)274-240-3889      | La Hechicera, Mérida - Edo. Mérida. Venezuela<br>
</blockquote>
<br>
-------------------------<br>
<br>
_______________________________________________<br>
Seguridad mailing list<br>
<a class="moz-txt-link-abbreviated" href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>
<a class="moz-txt-link-freetext" href="http://lacnic.net/mailman/listinfo/seguridad">http://lacnic.net/mailman/listinfo/seguridad</a><br>
  <br>
<br>
<br>
<span style="white-space: pre;">>-------------------------<br>
<br>
>_______________________________________________<br>
>Seguridad mailing list<br>
><a class="moz-txt-link-abbreviated" href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>
><a class="moz-txt-link-freetext" href="http://lacnic.net/mailman/listinfo/seguridad">http://lacnic.net/mailman/listinfo/seguridad</a></span><br>
<br>
</body>
</html>