Ja faz muito tempo que não vemos email contaminado com vírus, e isto não é por acaso ! desde o ano 2000 quando os vírus de Macro Word/Excell sumiram, já no ano de 2001, 90% dos vírus eram propagados por email, o mesmo email enviado pelo próprio vírus ! ainda estávamos no inicio da Internet, e muita coisa ainda estava sendo experimentada, e todos percebiam que havia uma falha muito grande no sistema de envio e recebimento de eMail, um protocolo “inocente” que facilitava o envio de email por programas nocivos.

BlackList de Email
O problema todo era, que naquela época não existia o que chamamos hoje de BlackList, a “lista negra” dos IPs, ou seja, todo servidor de email, que recebe o email , verifica esta lista negra para saber se o IP de quem esta enviado está ou não na lista negra, outra coisa que não era verificado, embora já existia, era a existência de um IP Reverso, ou seja, qualquer um poderia enviar email do próprio PC, usando o próprio IP recebido do provedor, e tudo que era enviado usando o PC da máquina do usuário chegava sem problema no destinatário, e esta vulnerabilidade, era aproveitado pelo virus … que usava o nome do PC contaminado para se “auto enviar”, algo como joao@joao.com.br (como remetente) e o destinatário era qualquer um que estivesse na página de email do PC contaminado.
IP Reverso
O IP Reverso é outra técnica usada hoje (além da análise do BlackList), qualquer email que chege a a nossa conta (seja hotmail, gmail ou nosso dominio), passa por verificações como , existência ou não do IP do remetente no BlackList e se tem ou não um IP Reverso; e isto diminuiu bastante o poder dos vírus, vírus que se propagam por email foram reduzidos praticamente a 0%.
Todo dominio (como hotmail.com) tem um número, o hotmail.com tem um IP correspondente,e o gmail vai verificar se o IP não está no BlackList para poder receber algo vindo do HotMail , é óbvio que o hotmail.com é um servidor altamente confiável … mas se um vírus usar algo como joao@site.com.br , o ip de site.com.br sera verificado no BlackList, da mesma forma, se o IP correspondente a site.com.br for 11.22.33.44, o sistema vai fazer outra análise para saber de o dominio correspondente a 11.22.33.44 é realmente site.com.br, e se o domino foi criado aloatoriamente, o verificador de IP reverso já detecta que é um golpe e nao recebe nada de site.com.br, ou seja site.com.br -> 11.22.33.44, MAS 11.22.33.44 <> joao.com.br, e como ocorre isto ? existe uma lista de “Donos de IPS“, podemos verificar quem é o dono do IP usando um método chamado WHOIS, quando uma empresa compra uma faixa de IPs, o nome dela fica registrado, então é fácil saber se o email esta vindo de uma empresa séria, ou simplesmente inventada por vírus, quando é analisado o whois de 11.22.33.44 não veremos que o dono é site.com.br e sim o nome de seu verdadeiro dono, é este o bloqueio por analise de IP Reverso.
Isto tudo desmontou o virus de email como vemos no gra´fico abaixo, obtido pelo Google Trends.

E a mágica toda é esta ! Qualquer PC, mesmo usando um IP dado da operadora (como é hoje), mesmo usando um IP volátil que troca a cada conexão, é possível criar um servidor de eMail completo, MAS você não conseguirá definir um IP reverso com um IP dado pela operadora para você simplesmente navegar.
Se examinarmos por exemplo, o IP dado para clientes da NET:
% Copyright (c) Nic.br
% The use of the data below is only permitted as described in
% full by the terms of use at https://registro.br/termo/en.html ,
% being prohibited its distribution, comercialization or
% reproduction, in particular, to use it for advertising or
% any similar purpose.
% 2014-10-12 20:31:48 (BRT -03:00)inetnum: 187.104/14
aut-num: AS28573
abuse-c: GRSVI
owner: NET Serviços de Comunicação S.A.
ownerid: 000.108.786/0001-65
responsible: Grupo de Segurança da Informação Vírtua
country: BR
owner-c: GRSVI
tech-c: GRSVI
inetrev: 187.107.128/18
nserver: ns7.virtua.com.br
nsstat: 20141009 AA
nslastaa: 20141009
nserver: ns8.virtua.com.br
nsstat: 20141009 AA
nslastaa: 20141009
created: 20091118
changed: 20130307nic-hdl-br: GRSVI
person: Grupo de Segurança Vírtua
e-mail: virtua@virtua.com.br
created: 20080512
changed: 20090518% Security and mail abuse issues should also be addressed to
% cert.br, https://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), registrant (tax ID), ticket,
% provider, contact handle (ID), CIDR block, IP and ASN.
Vemos ai que o IP que usamos pertence na verdade a operadora, que nos “Empresta” para navegar, se usarmos ele para enviar eMail a partir de nosso PC, teriamos que provar que nosso email esta vindo da NET e não de nossa casa, se enviarmos por exemplo um email de joao@site.com.br, ao tentar obter informações do IP deveria aparecer o dno como site.com.br e nao Net Serviços … como não conseguiremos provar que o site.com.br é dono do IP, então o IP reverso não foi feito, neste caso ao receber eMail, o servidor simplesmente recusa e envia para a lixeira; e foi assim que os virus que enviavam email desapareceram da face da terra, assim como os dinossauros.
Ainda temos SPAM
Vale a pena falar de SPAM também … se vírus roubam nossas informações ( e dinheiro ) o SPAM também nos rouba coisas, e até dinheiro indiretamente … ele atrapalha boa parte de nosso dia tentando separar eMail que queremos daqueles que nos obrigam querer.
Acho que o maior problema do SPAM é que, ele trouxe e uma validação forte de qualquer eMail que recebemos, qualquer suspeita a mínima que seja, e o sistema envia nosso email para o purgatório da Lixeira ou caixa de SPAM, e muitas vezes é um eMail que precisamos e estamos esperando, e aquele eMail precioso se perde entre emails que não queríamos, talvez seja exatamente o que acontece depois que derrubaram as torres gêmeas em Nova Iorque, muita gente que não tem culpa, acaba sofrendo com o filtro que existe para entrada de estrangeiros … e este filtro atrapalha muito, porque as vezes ficamos revisando na lixeira se tem algum eMail ali quenos interessa, e muitas vezes tem … e este é um grave problema.
Email Confiável
E como saber se o email e´confiável ? sim, “fizeram coisas” além da lista negra de dominios (que aparece após o @ como @site.com.br), email confiável tem configuração também para:
- X-Auth-Result
- X-SID-Result
- KDIM-Signature
Através de configuração das 3 variaveis (X-Auth-Restul, X-SID-Result e KDIM-Signature), este último, é gerado através de uma chave, um processo que vai deixar a entrega de email mais lenta, porém torna o email mais confiável e fora da Lixeira ou Caixa de Spam. É óbvio, quem faz spam ou spoofing, não pode usar isto.
Veja na imagem abaixo, o codigo fonte de uma conta de email bem configurado, para dar credibilidade a menasgem, note que X-Auth-Resul é marcado como PASS e não como NONE (NONE = email suspeito) o mesmo ocorre par X-SID-Result que tem valor PASS e não NONE; Já o DKIM–Signature exibe a configuração por chave.

Para obter o código fonte, basta pedir para exibir a origem da mensagem.