The Spamhaus Project

Restringir a Porta 25

Redes brasileiras: Você está deixando a porta 25 aberta?

Se a resposta for sim, você pode estar contribuindo para a proliferação de spam na internet. Fechar a porta 25 é uma solução simples. Isso não impedirá você ou seus clientes de enviar e-mails, mas reduzirá significativamente a disseminação de spam e malware, além de fortalecer a integridade da sua rede. Explore nossas FAQs, melhores práticas e blogs de especialistas para entender e abordar esse problema crescente.

Porta 25: Um problema recorrente

Em 2005, a indústria suspirou de alívio porque um acordo foi alcançado de que deixar a porta 25 aberta em um servidor de e-mail era algo ruim, e assim, os relays abertos deixaram de ser um problema em larga escala. Ao fechar a porta 25 para usuários não autorizados, o maior problema de spam foi resolvido — com uma solução simples! No entanto, hoje esse problema voltou e está maior do que nunca.

Por que isso está acontecendo?

Devido à escassez de endereços IPv4, muitas redes estão usando Network Address Translation (NAT) para maximizar seus recursos limitados de IPs. No entanto, muitas redes não configuraram seus NATs para bloquear o tráfego de saída na porta 25 para usuários finais.

O uso crescente de smartphones e outros dispositivos conectados à internet permite que cibercriminosos e outras pessoas mal-intencionadas explorem vulnerabilidades nesses dispositivos para rodar softwares de proxy, espalhar malware e enviar spam.

O resultado é que cada dispositivo infectado pode enviar spam, e uma porta 25 totalmente aberta em pools de IPs dinâmicos e de CGNAT (Carrier-Grade NAT) significa que não há nada para impedir o spam. Como resultado, uma quantidade significativa de tráfego da porta 25 vem de dispositivos infectados com proxyware ou malware, que estão enviando spam sem o consentimento ou conhecimento do usuário. Permitir que esse tráfego saia da sua rede sem controle contribui para o problema geral, alavancando os custos de lidar com esses e-mails abusivos para outras redes.

A solução é simples — a mesma de 25 anos atrás: as redes devem limitar o acesso à porta 25 apenas para servidores SMTP e negar o acesso a todos os outros.

Informações específicas para o Brasil

Há um equívoco comum de que a legislação promulgada em abril de 2014 torna ilegal a restrição da porta 25. Para esclarecer isso, entramos em contato com o CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil).

De acordo com o CERT.br, a lei de 2014 foi substituída pelo Decreto Presidencial 8771 em 11 de maio de 2016, que explicitamente faz exceções para o combate ao spam:

*§ 1º Os requisitos técnicos indispensáveis apontados no caput são aqueles decorrentes de: *

I - tratamento de questões de segurança de redes, tais como restrição ao envio de mensagens em massa (spam) e controle de ataques de negação de serviço;

Encontre mais informações sobre a gestão da porta 25 e sua história no Brasil (versão em inglês).

Que ação você deve tomar agora?

Proprietários e operadores de redes, o papel que vocês desempenham na resolução deste problema é crucial!

Por favor, verifique com sua equipe de rede e certifique-se de que a porta 25 esteja fechada para os usuários finais. Leva um minuto para fazer a solicitação. Leva cinco minutos para restringir a porta 25. Seus usuários finais já deveriam estar usando a porta 587 com autenticação SMTP, e nem perceberão. A redução na quantidade de spam será enorme, e você estará ajudando a fortalecer a confiança e a segurança na internet.

Obrigado!

Mais informações (em inglês)

Você pode encontrar perguntas frequentes, melhores práticas, blogs e mais aqui para entender por que restringir a porta 25 para saída é essencial para proteger contra a disseminação de spam e malware e manter a integridade da rede para os usuários.

FAQs

Help and recommended content

See below for industry best practices and recommended content
Resources
Restringir a Porta 25
...
Restringir a Porta 25