Redes brasileiras: Você está deixando a porta 25 aberta?
Se a resposta for sim, você pode estar contribuindo para a proliferação de spam na internet. Fechar a porta 25 é uma solução simples. Isso não impedirá você ou seus clientes de enviar e-mails, mas reduzirá significativamente a disseminação de spam e malware, além de fortalecer a integridade da sua rede. Explore nossas FAQs, melhores práticas e blogs de especialistas para entender e abordar esse problema crescente.
Porta 25: Um problema recorrente
Em 2005, a indústria suspirou de alívio porque um acordo foi alcançado de que deixar a porta 25 aberta em um servidor de e-mail era algo ruim, e assim, os relays abertos deixaram de ser um problema em larga escala. Ao fechar a porta 25 para usuários não autorizados, o maior problema de spam foi resolvido — com uma solução simples! No entanto, hoje esse problema voltou e está maior do que nunca.
Por que isso está acontecendo?
Devido à escassez de endereços IPv4, muitas redes estão usando Network Address Translation (NAT) para maximizar seus recursos limitados de IPs. No entanto, muitas redes não configuraram seus NATs para bloquear o tráfego de saída na porta 25 para usuários finais.
O uso crescente de smartphones e outros dispositivos conectados à internet permite que cibercriminosos e outras pessoas mal-intencionadas explorem vulnerabilidades nesses dispositivos para rodar softwares de proxy, espalhar malware e enviar spam.
O resultado é que cada dispositivo infectado pode enviar spam, e uma porta 25 totalmente aberta em pools de IPs dinâmicos e de CGNAT (Carrier-Grade NAT) significa que não há nada para impedir o spam. Como resultado, uma quantidade significativa de tráfego da porta 25 vem de dispositivos infectados com proxyware ou malware, que estão enviando spam sem o consentimento ou conhecimento do usuário. Permitir que esse tráfego saia da sua rede sem controle contribui para o problema geral, alavancando os custos de lidar com esses e-mails abusivos para outras redes.
A solução é simples — a mesma de 25 anos atrás: as redes devem limitar o acesso à porta 25 apenas para servidores SMTP e negar o acesso a todos os outros.
Informações específicas para o Brasil
Há um equívoco comum de que a legislação promulgada em abril de 2014 torna ilegal a restrição da porta 25. Para esclarecer isso, entramos em contato com o CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil).
De acordo com o CERT.br, a lei de 2014 foi substituída pelo Decreto Presidencial 8771 em 11 de maio de 2016, que explicitamente faz exceções para o combate ao spam:
*§ 1º Os requisitos técnicos indispensáveis apontados no caput são aqueles decorrentes de: *
I - tratamento de questões de segurança de redes, tais como restrição ao envio de mensagens em massa (spam) e controle de ataques de negação de serviço;
Encontre mais informações sobre a gestão da porta 25 e sua história no Brasil (versão em inglês).
Que ação você deve tomar agora?
Proprietários e operadores de redes, o papel que vocês desempenham na resolução deste problema é crucial!
Por favor, verifique com sua equipe de rede e certifique-se de que a porta 25 esteja fechada para os usuários finais. Leva um minuto para fazer a solicitação. Leva cinco minutos para restringir a porta 25. Seus usuários finais já deveriam estar usando a porta 587 com autenticação SMTP, e nem perceberão. A redução na quantidade de spam será enorme, e você estará ajudando a fortalecer a confiança e a segurança na internet.
Obrigado!
Mais informações (em inglês)
Você pode encontrar perguntas frequentes, melhores práticas, blogs e mais aqui para entender por que restringir a porta 25 para saída é essencial para proteger contra a disseminação de spam e malware e manter a integridade da rede para os usuários.