Ochrona serwera przed spamem

Z biegiem czasu reklamowe e-maile stały się prawdziwą zmorą Internetu. Firmy trudniące się tym zawodowo zalewają serwery pocztowe i grupy dyskusyjne miliardami niechcianych wiadomości. Stanowi to źródło rosnącej irytacji użytkowników i administratorów systemów. Adresatem tych agresywnych działań marketingowych może być każdy, kto ma własny adres pocztowy. I naprawdę niewielu jest to oszczędzone.

Z biegiem czasu reklamowe e-maile stały się prawdziwą zmorą Internetu. Firmy trudniące się tym zawodowo zalewają serwery pocztowe i grupy dyskusyjne miliardami niechcianych wiadomości. Stanowi to źródło rosnącej irytacji użytkowników i administratorów systemów. Adresatem tych agresywnych działań marketingowych może być każdy, kto ma własny adres pocztowy. I naprawdę niewielu jest to oszczędzone.

Już w styczniu 2001 opracowanie "Niepożądana korespondencja komercyjna a ochrona danych", wykonane na zlecenie Unii Europejskiej ( http://www.europa.eu.int ) mówiło o 20 miliardach maili reklamowych dziennie. Z kolei wewnętrzny dokument firmy GMX, dostawcy usług internetowych, analizujący okres od maja do lipca 2002, przedstawia jeszcze bardziej dramatyczny obraz - co siódmy e-mail z serwerów zewnętrznych to spam, który został odrzucony przez GMX. Tak więc filtry antyspamowe odrzucały 900 maili na minutę.

Zło, jakim jest spam, polega nie tylko na tym, że sortowanie i usuwanie listów jest czasochłonne. Spamerzy często załączają kod HTML lub Javy, by przemycić do komputera odbiorcy dialery lub inne złośliwe narzędzia. Aby skutecznie uniemożliwić tego rodzaju wątpliwą działalność marketingową, należy z góry podjąć odpowiednie działania zaradcze. W dalszym ciągu tekstu wyjaśnimy między innymi, jak zapobiec wykorzystywaniu własnego serwera pocztowego do nieautoryzowanego relayingu oraz jak bronić się przed spamem.

Jak działają spamerzy?

Spam może być też poważnym zagrożeniem, ponieważ wielu nadawców próbuje w poczcie przemycić dialery.

Spam może być też poważnym zagrożeniem, ponieważ wielu nadawców próbuje w poczcie przemycić dialery.

Spamer nie jest oczywiście zainteresowany tym, by można było dobrać mu się do skóry. Wysyłając swoją pocztę, szuka więc anonimowości. Ma tu wiele możliwości:

  • relaying - wykorzystanie niedostatecznie zabezpieczonego serwera SMTP, aby niepostrzeżenie wysyłać pocztę;

  • smarthost - spamer ustawia własny serwer SMTP, który wysyła pocztę bezpośrednio do skrzynek odbiorczych, z pominięciem innych serwerów;

  • proxy - spamer może ukryć swój adres IP za otwartym serwerem proxy, zacierając w ten sposób ślad prowadzący do siebie.
Dzięki odpowiedniej konfiguracji struktury serwera pocztowego można zablokować dużą część spamu już w przedpolu, chroniąc w ten sposób użytkowników poczty przed niedogodnościami. Pierwszym etapem budowania odpornego na spam serwera pocztowego jest zabezpieczenie go przed wykorzystaniem do relayingu.

Relaying - nieautoryzowane wysyłanie poczty

Relaying jest możliwy, ponieważ ten komputer ma otwarty proxy w porcie 3128, 
który może być wykorzystany przez spamera.

Relaying jest możliwy, ponieważ ten komputer ma otwarty proxy w porcie 3128,

który może być wykorzystany przez spamera.

Spamerzy zasadniczo nie używają do wysyłania poczty własnych, oficjalnych serwerów. Przyjętą praktyką jest wykorzystywanie do tego cudzych serwerów SMTP. Takie działanie określa się jako relaying. Powody są oczywiste: anonimowość, oszczędność kosztów i czasu.

Spamer nie musi się przy tym wiele natrudzić - najpierw za pomocą specjalnych narzędzi przeszukuje zakresy adresów IP w poszukiwaniu komputerów, w których otwarty jest port 25 (SMTP). Nawiązuje połączenie z takim komputerem i próbuje wysłać e-mail na konto u dostawcy bezpłatnych kont pocztowych, np. relaytest@dostawca.com. Jeżeli e-mail zostanie odebrany, można wykorzystać komputer do relayingu. Jeżeli spamer znajdzie dostatecznie dużo takich komputerów, za pomocą innych narzędzi stara się wysłać jak najwięcej poczty, zanim komputery zostaną ewentualnie uszczelnione.

Jeżeli serwer jest często wykorzystywany do relayingu, może w końcu trafić na tzw. czarną listę serwerów, z których inne serwery SMTP nie odbierają poczty. W skrajnym przypadku z takiego serwera SMTP nie da się w ogóle wysyłać poczty. Relaying jest w wielu krajach nielegalny, a ponadto oznacza dodatkowe kłopoty dla właściciela zaatakowanego serwera:

  • ponosi on koszty przesyłania ogromnych ilości danych;

  • olbrzymia liczba maili obciąża jego infrastrukturę;

  • można przyjąć z dużym prawdopodobieństwem, że będzie atakowany przez rozzłoszczonych odbiorców spamu;

  • może trafić na czarną listę i z tego powodu poczta jego użytkowników nie będzie odbierana przez niektóre serwery.
Sprawdź swój serwer

Spamer może dodatkowo ukryć swój adres IP za otwartym proxy.

Spamer może dodatkowo ukryć swój adres IP za otwartym proxy.

Jeżeli masz własny serwer SMTP połączony z Internetem, powinieneś sprawdzić, czy jest odporny na relaying. Masz w tym zakresie kilka możliwości. Na stronach abuse.net ( http://www.abuse.net ) znajdziesz odpowiedni test. Możesz za jego pomocą szybko sprawdzić, w jakim stopniu twój serwer jest zabezpieczony przed relayingiem. Narzędzie testowe wypróbuje na nim szereg znanych trików i przedstawi ci wyniki w czytelnej postaci.

Inną możliwość testowania oferuje Open Relay Database ( http://www.ordb.org ). Za pomocą tej bazy danych administratorzy systemów blokują wymianę poczty elektronicznej z otwartymi relay-serwerami. odrb.org prowadzi listę hostów względnie adresów IP, o których wiadomo, że pracują jako otwarte SMTP relay-serwery. Każdy może przetestować swój serwer pocztowy na stronach organizacji. Jest jednak pewien haczyk - jeżeli wynik testu okaże się pozytywny, to znaczy gdy twój serwer przesłał pocztę jako relay, automatycznie znajdzie się na liście Open Relay Database. Niektóre systemy mogą w pewnych okolicznościach nie akceptować poczty z twojego serwera.

Więcej informacji na temat Open Relay Database można znaleźć pod adresem http://www.ordb.org/faq/ . Jest tam wiele wskazówek, jak przeprowadzać testy z różnymi serwerami pocztowymi, na przykład z Sendmail.

Pozytywny wynik testu - co dalej?

Identyfikacja nadawcy i odbiorcy w sesji SMTP

Identyfikacja nadawcy i odbiorcy w sesji SMTP

Ponieważ serwer SMTP musi rozpoznawać i blokować nieautoryzowany relaying, w każdej sesji SMTP są cztery elementy do identyfikacji nadawcy i odbiorcy, o różnym stopniu bezpieczeństwa:

Dwa pierwsze punkty (HELO i MAIL) mogą zawierać dowolne dane i często jest tak w rzeczywistości, a więc danym tym nie można ufać. Zamiast tego serwer pocztowy powinien zezwalać na relaying na podstawie następującej kombinacji: "RCPT to: adres (nazwa domeny)", "SMTP_CALLER nazwa domeny" oraz "SMTP_CALLER adres IP". Zalecane jest przy tym stosowanie następującego algorytmu: jeżeli w przypadku "RCPT to" chodzi o jedną z "własnych" domen, wówczas "RCPT to" ma charakter lokalny; jeśli własny serwer pocztowy akceptuje przesyłanie maili do tej domeny (MX rekord), wówczas przesyłanie jest dozwolone. Jeżeli nazwa domeny podana w "SMTP_CALLER" jest znana i autoryzowana, względnie adres IP, relaying jest akceptowany. We wszystkich pozostałych przypadkach relaying jest blokowany.

Dodatkowo serwer SMTP powinien sprawdzać nazwę domeny podaną w "MAIL from" pod względem poprawności. Jeżeli zapytanie do DNS nie da wyniku, nazwa domeny nie istnieje. W ten sposób wprowadzamy jeszcze jeden mechanizm uniemożliwiający relaying, niezależny od pozostałych.


Zobacz również