{"id":28634,"date":"2025-01-20T18:43:20","date_gmt":"2025-01-20T18:43:20","guid":{"rendered":"https:\/\/blog.lacnic.net\/?p=28634"},"modified":"2025-01-20T18:43:21","modified_gmt":"2025-01-20T18:43:21","slug":"m3aawg-socorro-cai-em-uma-armadilha-de-spam","status":"publish","type":"post","link":"https:\/\/blog.lacnic.net\/pt-br\/m3aawg-socorro-cai-em-uma-armadilha-de-spam\/","title":{"rendered":"M3AAWG, socorro! Ca\u00ed em uma armadilha de spam!"},"content":{"rendered":"\n

Grupo de Trabalho Antiabuso de Mensagens, Malware e M\u00f3vel (M3<\/sup>AAWG)<\/strong><\/p>\n\n\n\n

Publicado originalmente no<\/strong><\/em> M3<\/sup>AAWG<\/a> <\/p>\n\n\n\n

Introdu\u00e7\u00e3o<\/h2>\n\n\n\n

Este documento ajuda os Provedores de Servi\u00e7os de E-mail (ESP) a mitigar as consequ\u00eancias de cair em armadilhas de spam. Ele tamb\u00e9m sugere maneiras de usar as informa\u00e7\u00f5es fornecidas por essas armadilhas para melhorar as pr\u00e1ticas de envio dos clientes, minimizando assim futuros eventos de spam. Neste documento, \u201ccliente\u201d se refere \u00e0 organiza\u00e7\u00e3o que usa o ESP para enviar e-mails.<\/p>\n\n\n\n

A maioria dos remetentes de e-mail enfrenta, em algum momento, as consequ\u00eancias de ter enviado e-mails para armadilhas de spam. A magnitude das consequ\u00eancias pode variar muito dependendo do n\u00famero de mensagens enviados \u00e0 armadilha, do tipo de armadilha, de quem opera a armadilha e de outras vari\u00e1veis \u200b\u200b\u2013todos fatores dos quais os clientes podem n\u00e3o estar cientes. Nestes casos, os ESP t\u00eam a responsabilidade de monitorar e informar seus clientes quando ocorrer uma armadilha. O ESP vai querer evitar o acesso a estas armadilhas no futuro e mitigar os efeitos destes eventos na entrega de correio. N\u00e3o fazer isso poderia levar a consequ\u00eancias mais severas na infraestrutura de envio do ESP.<\/p>\n\n\n\n

Uma alta taxa de mensagens enviadas para uma armadilha de spam a partir de um determinado fluxo de correio pode indicar um remetente abusivo ou, no m\u00ednimo, um que aplica as melhores pr\u00e1ticas de envio de modo inconsistente (os padr\u00f5es recomendados s\u00e3o descritos em M3<\/sup>AAWG Sender Best Common Practices<\/a>). O dom\u00ednio do destinat\u00e1rio pode decidir que o melhor para seus usu\u00e1rios \u00e9 rejeitar mensagens desse fluxo ou atribuir uma prioridade menor para os e-mails apresentados para sua entrega. Em circunst\u00e2ncias extremas, o ESP pode descobrir que foi bloqueado e que seus e-mails foram rejeitados por uma grande parte da Internet.<\/p>\n\n\n\n

Embora ningu\u00e9m queira cair em uma armadilha de spam, o ESP pode aproveitar as visitas a uma dessas armadilhas como uma oportunidade n\u00e3o apenas para detectar e remover clientes abusivos, mas tamb\u00e9m para ajudar seus clientes leg\u00edtimos a identificar e corrigir pr\u00e1ticas de envio inadequadas. Mais adiante vamos falar sobre a mitiga\u00e7\u00e3o e apresentar alguns pontos de discuss\u00e3o para compartilhar com os clientes.<\/p>\n\n\n\n

O que \u00e9 uma armadilha de spam?<\/h2>\n\n\n\n

Uma armadilha de spam \u00e9 um endere\u00e7o de e-mail usado para coletar, registrar e monitorar o envio de spam e outros e-mails n\u00e3o solicitados ou abusivos. Essas armadilhas s\u00e3o projetadas para serem indistingu\u00edveis de outros endere\u00e7os de e-mail e podem ser encontradas em todo tipo de redes, incluindo dom\u00ednios corporativos e de e-mail gratuitos.<\/p>\n\n\n\n

Embora existam diferentes tipos de armadilhas de spam, todas elas compartilham uma caracter\u00edstica: n\u00e3o enviam mensagens nem assinam listas de e-mail ou newsletters. O operador de uma armadilha monitora as mensagens enviadas para esses endere\u00e7os e usa os dados para analisar a reputa\u00e7\u00e3o do endere\u00e7o IP e do nome de dom\u00ednio, bem como para avaliar o conte\u00fado do e-mail.<\/p>\n\n\n\n

Muitas vezes, esses dados s\u00e3o usados \u200b\u200be redistribu\u00eddos por meio de listas negras baseadas em DNS (DNSBL) e outros sistemas de reputa\u00e7\u00e3o para ajudar a tomar decis\u00f5es informadas sobre entrega ou bloqueio nos dom\u00ednios de destinat\u00e1rios que os usam.<\/p>\n\n\n

Leia tamb\u00e9m:<\/div><\/div><\/div>
Por que M3AAWG? Porque uma colabora\u00e7\u00e3o eficaz antiabuso requer um f\u00f3rum global confi\u00e1vel<\/a><\/div><\/div><\/section>\n\n\n

Uma taxonomia das armadilhas de spam<\/h2>\n\n\n\n

Alguns dos tipos mais comuns de armadilhas incluem:<\/p>\n\n\n\n

Armadilha reciclada<\/h3>\n\n\n\n

Um endere\u00e7o ou dom\u00ednio que j\u00e1 foi alguma vez v\u00e1lido, mas que depois de um per\u00edodo de inatividade se tornou uma armadilha de spam. O tempo de inatividade pode variar significativamente entre os operadores, mas o M3<\/sup>AAWG sugere 12 meses como m\u00ednimo. Esse tipo de armadilha geralmente \u00e9 um indicador de uma lista mal gerenciada (ou de uma lista antiga) e\/ou da falta de um processamento de rejei\u00e7\u00e3o correto.<\/p>\n\n\n\n

Armadilha pr\u00edstina ou pura<\/h3>\n\n\n\n

Um endere\u00e7o que nunca esteve ativo para um usu\u00e1rio de e-mail antes de sua implementa\u00e7\u00e3o como uma armadilha de spam. Em geral, a gente cai nessas armadilhas pela coleta de dados na web, sondagem do espa\u00e7o de endere\u00e7os ou ataques de dicion\u00e1rio. Cair nesse tipo de armadilhas pode ser um forte indicador de listas compradas.<\/p>\n\n\n\n

Armadilha tipogr\u00e1fica<\/h3>\n\n\n\n

Esta armadilha normalmente inclui um erro tipogr\u00e1fico intencional e talvez comum, principalmente na parte do endere\u00e7o correspondente ao dom\u00ednio, por exemplo, user@gmial.com,<\/a> user@notmail.com<\/a> e semelhantes. Esse tipo de ocorr\u00eancia geralmente indica que o cliente n\u00e3o confirmou o endere\u00e7o do destinat\u00e1rio, possivelmente como resultado de erros de transcri\u00e7\u00e3o ou digitaliza\u00e7\u00e3o no momento em que o remetente coletou o endere\u00e7o de e-mail. Embora isso possa ser tecnicamente uma armadilha perfeita, muitos operadores as classificam de forma diferente, pois os remetentes podem obt\u00ea-las por meio de pr\u00e1ticas de coleta leg\u00edtimas.<\/p>\n\n\n\n

M3<\/sup>AAWG Best Current Practices for Building and Operating a Spam Trap<\/a> (Melhores pr\u00e1ticas atuais para construir e operar uma armadilha de spam) fornece uma an\u00e1lise mais detalhada dos tipos de armadilhas de spam e seus modos de uso. Este documento faz refer\u00eancia principalmente \u00e0s armadilhas que afetam diretamente a entrega, n\u00e3o \u00e0s redes de armadilhas de sensores usadas para monitorar a reputa\u00e7\u00e3o em vez de para bloquear o e-mail.<\/p>\n\n\n\n

Voc\u00ea sabe que caiu em uma armadilha de spam quando…<\/h2>\n\n\n\n

Como as armadilhas de spam s\u00e3o geralmente projetadas para serem indistingu\u00edveis de outros endere\u00e7os de e-mail, muitas vezes \u00e9 dif\u00edcil saber quando uma determinada mensagem foi enviada para uma delas. No entanto, existem indicadores de que estamos enviando mensagens a uma armadilha de spam, entre eles, a inclus\u00e3o de um dom\u00ednio ou um IP em uma lista negra ou um aumento no n\u00famero de e-mails rejeitados. As ferramentas que monitoram as listas negras e a reputa\u00e7\u00e3o podem fornecer m\u00e9tricas sobre os envios a armadilhas de spam sem revelar (ou \u201cqueimar\u201d) as pr\u00f3prias armadilhas de spam.<\/p>\n\n\n\n

Em raras ocasi\u00f5es, um dom\u00ednio destinat\u00e1rio anuncia a exist\u00eancia de uma armadilha de spam. Isso pode ser feito por meio do nome do host do seu servidor MX no DNS (por exemplo, spamtrap.domain.com) ou de um texto em uma resposta SMTP que indique que o endere\u00e7o \u00e9 uma armadilha de spam.<\/p>\n\n\n\n

Tamb\u00e9m existem feeds<\/em> de armadilhas de spam comerciais. Esses servi\u00e7os, fornecidos por empresas de monitoramento da entregabilidade, t\u00eam suas pr\u00f3prias redes de armadilhas de spam. Estas redes n\u00e3o s\u00e3o usadas para bloqueio, mas sim para permitir que os clientes das empresas de monitoramento da entregabilidade vejam que parte de seus e-mails est\u00e1 sendo enviado para essas armadilhas.<\/p>\n\n\n\n

Exposi\u00e7\u00e3o n\u00e3o intencional de armadilhas<\/h2>\n\n\n\n

Em geral, quem operam as armadilhas n\u00e3o procuram exp\u00f4-las. O investimento necess\u00e1rio para criar e manter armadilhas que possam produzir dados \u00fateis \u00e9 significativo. Os operadores devem assumir que, uma vez exposto, o conhecimento da exist\u00eancia de uma armadilha se espalhar\u00e1 rapidamente, minimizando assim a sua efic\u00e1cia.<\/p>\n\n\n\n

No decorrer da pesquisa e corre\u00e7\u00e3o, os ESP ou seus representantes podem revelar inadvertidamente a identidade de um endere\u00e7o IP, dom\u00ednio ou rede de uma armadilha de spam. Para manter a opera\u00e7\u00e3o discreta necess\u00e1ria, os ESP devem tomar todas as medidas apropriadas para manter a confidencialidade desses dados.<\/p>\n\n\n\n

A comunica\u00e7\u00e3o com o cliente nunca deve revelar, expl\u00edcita ou implicitamente, a identidade das armadilhas ou redes, e qualquer discuss\u00e3o sobre esses dados por parte de um ESP deve ser tratada estritamente de acordo com o princ\u00edpio da \u201cnecessidade de saber\u201d.<\/h3>\n\n\n\n

Se forem revelados dados que permitam identificar a armadilha ou a rede, e a identidade do seu operador for conhecida, seria recomend\u00e1vel notificar o operador da armadilha. Informar o operador que a sua armadilha pode estar comprometida permitir\u00e1 que ele tome as medidas necess\u00e1rias para manter a efic\u00e1cia da sua rede. Notificar o operador da armadilha tamb\u00e9m pode ajudar um ESP a estabelecer ou manter um relacionamento de trabalho positivo com o propriet\u00e1rio da rede.<\/p>\n\n\n\n

Remedia\u00e7\u00e3o<\/h2>\n\n\n\n

Notifica\u00e7\u00e3o ao cliente<\/h3>\n\n\n\n

Um ESP deve notificar seu cliente quando houver evid\u00eancias de que ele caiu em uma armadilha de spam. Abaixo est\u00e3o algumas considera\u00e7\u00f5es que devem ser levadas em conta ao notificar um cliente sobre esses tipos de eventos.<\/p>\n\n\n\n

Auditoria de aquisi\u00e7\u00e3o<\/h3>\n\n\n\n

Em geral, os eventos com armadilhas de spam exigem uma auditoria dos procedimentos de aquisi\u00e7\u00e3o que permitiram que o endere\u00e7o da armadilha acabasse no banco de dados do remetente. Esta auditoria necessariamente ser\u00e1 semelhante aos procedimentos de verifica\u00e7\u00e3o de listas detalhados no documento M3<\/sup>AAAWG Vetting Best Common Practices.<\/u><\/a> No entanto, alguns de seus aspectos exigir\u00e3o uma abordagem mais granular e dever\u00e3o incluir considera\u00e7\u00f5es adicionais, tais como:<\/p>\n\n\n\n