Do not send e-mail to me!

Reverso Genérico

Reverso Genérico

O rDNS genérico remete a um padrão sequencial de nome destinado a um grande conjunto de IPs de um datacenter ou ISP. O rDNS genérico é definido logo quando o ISP recebe o bloco IP, muito antes que o IP seja alocado em uma máquina real. Portanto, o rDNS genérico é um nome dado ao IP e não é um nome dado ao host.

 

Exemplos de reverso genérico

 

O rDNS genérico segue normalmente um padrão do tipo “123-45-67-8.your.isp.com”. Pode também seguir outros padrões como “ip54575b80.your.isp.com” ou então “unknown-1526.your.isp.com”. Note que a maior característica de um rDNS genérico é seu caráter sequencial ou pseudo aleatório para um grande grupo de IPs.

 

Existem também casos onde um único nome é usado para um conjunto extremamente grande de IPs, como por exemplo “generic.your.isp.com” ou então “not-assigned.your.isp.com”. Estes casos também são considerados rDNS genéricos, mesmo que não exista padrão sequencial no nome.

 

Reverso genérico em servidores de e-mail

 

Apesar de não ser uma norma, o rDNS genérico deve ser evitado a todo custo em servidores de e-mail.

 

A grande maioria dos IPs, com rDNS genérico, estão alocados em máquinas que não cumprem função de serviço de e-mail. Estas máquinas podem ter certas vulnerabilidades que facilitam seu sequestro (hijacking) por programas maliciosos. Uma vez sequestrada, a máquina pode ser programada para disparo de SPAM ou malware. Para que isso seja possível, basta que o ISP mantenha a porta 25 aberta, ainda que não exista serviço oficial de e-mail usando aquele IP.

 

Muitas DNSBLs bloqueiam previamente IPs que tenham rDNS genérico, a fim de evitar futuros ataques por hijacking de máquinas usando estes IPs. Outras DNSBLs usam a verificação de rDNS genérico como gatilho de bloqueio, mas combinado a outros gatilhos. Por exemplo, se for detectado um baixo volume de malware oriundo de um certo IP, este pode ser sumariamente bloqueado se tiver rDNS genérico. Porém, o mesmo IP poderia ser colocado apenas em modo de alerta, caso o rDNS dele não fosse genérico. Ou seja, a condição genérica do rDNS pode baixar o limiar de volume tolerável de abuso oriundo de um certo IP.

 

Caso seu servidor de e-mail esteja usando um IP com rDNS genérico, peça para seu ISP muda-lo para o hostname real da máquina, usando seu próprio domínio. Por exemplo: “mail.mydomain.tld”. Essa simples mudança reduzirá a probabilidade de seu IP ser listado.

 

Links externos

http://www.spamcannibal.org/statsgeneric.html
http://www.abuseat.org/generic.html

Leandro Carlos Rodrigues

Bacharel em Ciência da Computação pela FEI