Postmaster

Downloads

Tutorial do Postmaster

Essa página contém informações detalhadas visando esclarecer o processo de e-mail na UNIWARES e se propõe a ajudar no diagnóstico de problemas.

  1. Verificação HELO
  2. Open Relay
  3. rDNS - DNS Reverso
  4. Report Cards

  1. Verificação de HELO (HELO Verification)

    Toda a comunicação entre qualquer cliente na internet é baseada em uma parte essencial da identificação – o endereço IP. Esse quarteto de números identifica unicamente os participantes de um canal de comunicação enquanto a conexão durar. Quando o canal é fechado e posteriormente restabelecido, o endereço IP pode ter sido alterado por várias razões (conta de dial-up, IP dinâmico, balanceamento de carga, etc.).

    Mas enquanto a conexão durar, ambas as pontas possuem essa identificação única chamada endereço IP. A maioria dos endereços IP possui também um “apelido” legível chamado hostname. O hostname é o que as pessoas normalmente reconhecem como o “endereço internet”. Quando você lê "www.uniwares.com.br" na realidade você está lendo o hostname. E o seu computador irá converter isso em um endereço IP.

    A especificação básica do protocolo de SMTP (RFC 821) introduz o comando HELO, o qual inicia a comunicação entre dois MTA’s. Vamos ver como ela é definida:

    RFC 821, Seção 3.5: 

    HELO <domínio> <CRLF>

    No comando HELO o host que envia o comando identifica a si próprio; o comando pode ser interpretado como dizendo "Olá, eu sou <domínio>".

    O padrão é claro suficiente: “No comando HELO o host que envia o comando identifica a si próprio”.

    Qualquer MTA operado de maneira séria envia seu nome real (ou um apelido válido) durante a comunicação (embora exista uma minoria de servidores com configurações incorretas), ou pelo menos seu endereço IP.

    Dessa forma, a UNIWARES, com base na RFC 821 e utilizando recursos de seu anti-spam, irá descartas conexões que se identificarem de forma incorreta.

    Topo

  2. Open Relay

    Um servidor de correio eletrônico atua como Open Relay quando processa e-mails, sendo que nem o remetente, nem o destinatário são usuários do servidor em questão. Servidores de correio que permitem relay já foram usados na Internet de maneira válida. No entanto, atualmente, constituem uma ameaça à rede, pois são usados pelos spammers para disparar junk e-mails indiscriminadamente.

    O uso de servidores como relay permite aos spammers aumentar o envio destes e-mails, driblar filtros, despistar sua verdadeira identidade.

    Para testar se seu servidor é um Open Relay, visite o site abuse no endereço: www.abuse.net/relay.html

    Topo

  3. rDNS - DNS Reverso

    O DNS Reverso traduz um endereço IP para um nome de servidor – por exemplo, ele poderia resolver 200.252.15.195 para exemplo.dominio.com.br.

    Para os seus domínios, o DNS direto (que resolve um nome de servidor para um endereço IP, como quando se resolve exemplo.dominio.com.br para 200.252.15.195) começa na instituição (registro.br, para domínios registrados no Brasil) onde seu domínio foi registrado. Nesse registro, você deve especificar quais são os servidores de DNS que respondem pelos nomes no seu domínio, e o registro.br enviará essa informação para os root servers. Dessa forma, qualquer computador conectado na Internet, em qualquer lugar do mundo, poderá acessar os seus domínios, e você pode encaminhá-los para o endereço IP que desejar. Você tem total controle sobre os seus domínios, e pode encaminhar as conexões para qualquer IP (tendo ou não controle sobre esses IPs, embora você não deva encaminhá-los para IPs que não são seus, sem permissão).

    O DNS reverso funciona de forma parecida. Para os seus IPs, o DNS reverso (que resolve 200.252.15.195 de volta para exemplo.dominio.com.br) começa no seu provedor de acesso ou de meio físico (ou com quem quer que lhe diga qual é o seu endereço IP). Você ou seu provedor deve declarar quais servidores de DNS respondem pelos apontamentos de DNS reverso para os seus IPs. Dessa forma, qualquer computador conectado a internet poderá consultar os apontamentos de DNS reverso dos seus IPs, e você pode responder com qualquer nome que desejar (tendo ou não controle sobre os domínios desses nomes, embora você não deva apontá-los para nomes que não são dos seus domínios, sem previa autorização).

    Tanto para DNS direto quanto para DNS reverso, existem dois passos:

    1. Você precisa de servidores de DNS
    2. Você precisa informar a entidade correta (o registro.br para consultas de DNS direto, ou o seu provedor para consultas de DNS reverso) quais são os seus servidores de DNS. Caso isso não seja feito, não será possível alcançar os seus servidores de DNS.

    O maior problema que os administradores têm é que eles possuem servidores de DNS que funcionam perfeitamente para seus domínios (DNS direto), eles então incluem apontamentos de DNS reverso nesses servidores e o DNS reverso não funciona. Em outras palavras, se o seu provedor não sabe que você tem servidores de DNS para responder pelo DNS reverso dos seus IPs, ele não vai propagar essa informação para os root servers, e ninguém vai nem mesmo chegar aos seus servidores de DNS para consultar o DNS reverso.

    Conceitos Básicos

    • O DNS reverso resolve 200.252.15.195 para exemplo.dominio.com.br (um endereço IP para um nome de servidor).
    • O caminho de uma consulta típica de DNS reverso: Resolver de DNS >> root servers >> LACNIC (Orgão que distribui endereços IP na América Latina e Caribe) >> registro.br (responsável pela distribuição de IPs no Brasil) >> Provedor de acesso ou de meio físico >> Servidores de DNS do usuário do IP.
    • Quem quer que proveja os seus endereços IP (normalmente o seu provedor) DEVE:
    • Configurar seus apontamentos de DNS reverso nos servidores deles, ou “delegar a autoridade” dos seus apontamentos de DNS reverso para os seus servidores de DNS.
    • Apontamentos de DNS reverso são feitos com nomes que são o endereço IP invertido com um “.in-addr.arpa” adicionado no final – por exemplo, “195.15.252.200.in-addr.arpa”.
    • Apontamentos de DNS reverso são configurados com registros PTR (enquanto que no DNS direto usa-se registros A), feitos dessa forma: “195.15.252.200.in-addr.arpa. PTR exemplo.dominio.com.br.” (enquanto que no DNS diretos, seriam assim: “exemplo.hipotetico.com.br. A 200.252.15.195 ").
    • Todos os servidores na Internet devem ter um apontamento de DNS reverso (veja RFC 1912, seção 2.1).
    • Servidores de correio eletrônico sem DNS reverso terão dificuldades para entregar e-mails para alguns grandes provedores.

    O fato de ter um apontamento de DNS reverso registrado no seu servidor de DNS, não significa que o seu DNS reverso está corretamente configurado. Para isso, devemos verificar dois pontos:

    1. Seus servidores de DNS (ou os de seu provedor) devem ter os apontamentos de DNS reverso configurados ("195.15.252.200.in-addr.arpa PTR exemplo.dominio.com.br").
    2. Seu provedor de acesso ou de meio físico devem configurar o DNS reverso “no lado deles”, de forma que os resolvers de DNS por todo o mundo saibam que os seus servidores de DNS são os que devem ser consultados quando quiserem resolver o DNS reverso dos seus endereços IP.

    Como uma consulta de DNS reverso é efetuada:

    • O resolver de DNS inverte o IP e adiciona “.in-addr.arpa” no final, transformando 200.252.15.195 em 195.15.252.200.in-addr.arpa.
    • O resolver de DNS então consulta o registro PTR para 195.15.252.200.in-addr.arpa.
    • O resolver de DNS pergunta aos root servers pelo registro PTR do 195.15.252.200.in-addr.arpa.
    • Os root servers encaminham O resolver de DNS para os servidores de DNS encarregados da faixa “Classe A” (200.in-addr.arpa, que cobre todos os IPs que começam com 200).
    • Em quase todos os casos, os root servers irão encaminhar o resolver de DNS para um “RIR” (“Registro de Internet Regional”). Estas são as organizações que distribuem os IPs. Usualmente, LACNIC controla os IPs da América Latina e Caribe, ARIN controla os IPs da América do Norte, APNIC controla os IPs da Ásia e do Pacífico, e RIPE Controla os IPs da Europa.
    • O resolver de DNS irá perguntar aos servidores de DNS do “RIR” indicado pelos root servers pelo registro PTR do 195.15.252.200.in-addr.arpa.
    • Dependendo do “RIR”, a resposta pode ser um encaminhamento direto para a entidade que recebeu o range de IPs (como faz a ARIN), ou como no nosso caso, um encaminhamento para uma organização nacional que controla os IPs no país dentro da região de abrangência do “RIR”. Por exemplo, a LACNIC responderia que os servidores de DNS encarregados da faixa “Classe B” (252.200.in-addr.arpa) são os do registro.br, que controla a distribuição de IPs no Brasil.
    • Nesse segundo caso, o resolver de DNS irá perguntar agora para os servidores do registro.br pelo registro PTR do 195.15.252.200.in-addr.arpa.
    • Os servidores de DNS do registro.br vão encaminhar o resolver de DNS para a entidade que recebeu o range de IPs. Estes são, normalmente os servidores de DNS do seu provedor de acesso ou de meio físico.
    • O resolver de DNS irá perguntar aos servidores de DNS do provedor pelo registro PTR do 195.15.252.200.in-addr.arpa.
    • Os servidores de DNS do provedor vão encaminhar o resolver de DNS para os servidores de DNS da organização que de fato está usando o IP.
    • O resolver de DNS irá perguntar aos servidores de DNS da organização pelo registro PTR do 195.15.252.200.in-addr.arpa.
    • Finalmente, os servidores de DNS da organização irão responder com “exemplo.dominio.com.br”.
    Topo

  4. Report Cards

    Você poderá, a qualquer momento, receber um Report Card da UNIWARES informando inconformidades com alguma configuração de seu servidor. Os Reports Cards são enviando sempre ao Postmaster do domínio em questão e são enviando a critério da UNIWARES.

    Topo
To the World

Para América Latina:

Fone: + 55 61 3248-0551 SHIS QI 5 Bloco D - Sala 9A 71615-540, Brasília, Brasil
Entre em contato