Infelizmente, o Firefox Relay foi adicionado a uma lista de bloqueio de e-mail descartável, o que deixou muitos usuários do serviço chateados.
O Firefox Relay é um serviço de e-mail centrado na privacidade que permite aos usuários proteger seus endereços de e-mail reais e, portanto, limitar o spam.
Lançado em novembro de 2021, o Firefox Relay foi criado com o objetivo de ajudar os usuários a proteger sua privacidade e limitar a quantidade de spam de e-mail direcionado a eles.
Disponível como oferta gratuita e premium, o serviço oculta o endereço de e-mail real do usuário para ajudar a proteger sua identidade, fornecendo um alias para uso.
Agora, os mantenedores de uma lista de bloqueio de “serviço de e-mail descartável” decidiram adicionar o Firefox Relay à lista, deixando muitos usuários do serviço chateados.
Firefox Relay foi adicionado a uma lista de bloqueio de e-mail descartável
Os serviços de endereços de e-mail descartáveis funcionam fornecendo aos usuários um endereço de e-mail temporário e intermediário que “retransmite” e-mails para sua caixa de entrada real.
Os usuários que se inscrevem no Firefox Relay recebem um alias de e-mail @*.mozmail.com que encaminha seus e-mails para seu endereço de e-mail real.
Embora os serviços de e-mail descartáveis possam proporcionar tranquilidade aos usuários ao entrar em portais Wi-Fi gratuitos que exigem um endereço de e-mail e serviços com alta probabilidade de enviar e-mails de marketing aos usuários, eles também podem se tornar um incômodo para os provedores de serviços.
Por exemplo, sites de missão crítica que fornecem serviços de comércio eletrônico e serviços bancários on-line podem se tornar suscetíveis a abusos por agentes de ameaças se permitirem o uso de e-mails descartáveis.
Portanto, as listas de bloqueio de domínios usados pelos serviços de e-mail do gravador são compiladas e mantidas por terceiros.
Eles podem ser consultados por provedores de serviços on-line de tempos em tempos para negar inscrições de contas a usuários que apresentem um endereço de e-mail descartável.
Como visto pelo site BleepingComputer, a lista “disposable-email-domains” presente em um repositório GitHub com o mesmo nome contém serviços de e-mail de gravação conhecidos como 10minutemail, GuerrillaMail e Mailinator.
Juntamente com esses domínios, o relay.firefox.com também foi proposto para adição há alguns dias:
Não está claro quem todos ou quantos provedores de serviços fazem referência à lista de “domínios de e-mail descartáveis” ao verificar se um endereço de e-mail fornecido é um gravador.
Mas, note que ainda não vimos domínios *.mozmail.com na lista: “mozmail.com” é o domínio funcional usado pelos aliases de e-mail gerados pelo Firefox Relay.
Em novembro de 2021, o líder da equipe do Firefox Relay havia solicitado ao mantenedor de uma lista de e-mail de gravação separada, “burner-email-providers” para isentar o domínio específico da lista de bloqueio:
“Estamos operando o Relay com uma série de recursos que acho que mitigam os riscos que esses aliases representam”, explicou o engenheiro de privacidade e segurança da Mozilla, Luke Crouch, em novembro.
Em primeiro lugar, se um alias @mozmail.com for desabilitado pelo usuário, quaisquer e-mails enviados para o alias não serão devolvidos, mas descartados com uma mensagem de erro 404 retornada pelo webbook HTTP do serviço, afirmou Crouch.
Em segundo lugar, ele explicou, as proteções anti-abuso incorporadas ao Relay limitam os usuários gratuitos a um total de cinco aliases, e mais clientes premium com limite de taxa para que eles não possam abusar do serviço criando aliases descartáveis em larga escala para, digamos, inscrições em serviços da web.
Com esse raciocínio, o mozmail.com foi rapidamente removido dessa lista de bloqueio. E parece que os criadores de “domínios de e-mail descartáveis” também honraram a cláusula, por enquanto.
O movimento para propor a adição do domínio principal do Firefox Relay à lista de bloqueio de provedores de e-mail descartáveis deixou muitos usuários confusos e descontentes, levando os mantenedores da lista a bloquear a discussão do GitHub antes que ela fique “muito aquecida”.
“Bem, bom picles. Por que você está fazendo isso conosco, Firefox? Entre outras coisas, isso atrapalha o raciocínio original (não muito sólido) sobre os níveis de domínio daqui – por isso quebra nosso CI, mesmo que esteja na posição correta order”, perguntou o desenvolvedor de software Martin Cech, que é um dos contribuidores do repositório da lista de bloqueio.
“Meu raciocínio ao incluir isso é que um e-mail com um domínio mozmail nunca será um e-mail principal e sempre será encaminhado para algum outro endereço”, respondeu o co-mantenedor da lista, Dustin Ingram, que também é um Google open membro da equipe de segurança de origem.
Mas, um dos usuários pseudônimos do GitHub, worldofgeese, alertou que essas listas de bloqueio podem retirar dos usuários “uma das poucas defesas que eles têm” contra o vazamento de seu endereço de e-mail e de agentes de ameaças esperando para inundar as caixas de correio dos usuários com spam.
“Vocês não podem fazer isso? Vocês parecem atores extremamente ruins. Por favor, não contribuam para uma internet insegura”, escreveu worldofgeese.
“Eu uso o Private Relay para proteger meu endereço de e-mail pessoal, não como uma ferramenta para spam. Não tenho certeza de como um usuário usaria o Private Relay para spam, já que os usuários não podem iniciar o emaill cadeias com um endereço de retransmissão, só respondem a e-mails entregues a esses endereços.”
Outro usuário do GitHub pediu que a decisão de bloquear o Firefox Relay seja reconsiderada, pois o serviço é uma das salvaguardas que impedem que endereços de e-mail pessoais apareçam em violações de dados e sejam spam.
Curiosamente, serviços de e-mail focados em privacidade, como o Fastmail, permitem a criação de aliases de e-mail reais e gerados aleatoriamente por meio de seu domínio principal (ou seja, @fastmail.com).
“Boa sorte bloqueando as centenas de milhares de usuários do Fastmail tentando bloquear a minoria usando endereços mascarados”, desafiou um comentarista do Hacker News.
Como visto pelo BleepingComputer, fastmail.com está presente na lista de permissões dentro do repositório “disposable-email-domains”.
Alguns supuseram que, com esforço adicional, os agentes maliciosos também poderiam optar por abusar de provedores de e-mail legítimos, como o Gmail, em vez de recorrer a um serviço como o Firefox Relay, tornando essas listas de bloqueio inúteis.
E a divisão parece ser severa entre aqueles que garantem a eficácia do Firefox Relay e serviços de e-mail descartáveis, e aqueles com a dolorosa tarefa de manter listas de bloqueio anti-spam.
“A razão pela qual os endereços de e-mail descartáveis existem e são populares é porque os serviços abusaram da confiança dos usuários para não usar esses e-mails para receita de anúncios e esquemas de marketing obscuros.”, escreve um usuário no Hacker News.
“É ainda agravado pela segurança de má qualidade que leva a vazamentos e exposição de endereços de e-mail pessoais das pessoas a listas comprometidas. As pessoas não querem desistir de seus endereços de e-mail pessoais para que possam ser spam ou hackeados. Até que os serviços melhorem (ou seja, não me venda barato) continuarei usando o endereço de e-mail descartável mais recente para me inscrever em seus sites hostis ao usuário.”
Se a privacidade proporcionada pelos serviços de retransmissão de e-mail supera os riscos representados por seu abuso continua sendo um debate em andamento.
