Ochrona serwera przed spamem

W poprzednim rozdziale rozbudowaliśmy SuSE Linux Office Server o funkcje poczty elektronicznej. Niestety, producenci spamu wykorzystują cudze serwery pocztowe do rozsyłania swoich elektronicznych śmieci. Konieczna jest zatem ochrona serwera przed takimi praktykami i obecnie omówimy niezbędne do tego środki.

W poprzednim rozdziale rozbudowaliśmy SuSE Linux Office Server o funkcje poczty elektronicznej. Niestety, producenci spamu wykorzystują cudze serwery pocztowe do rozsyłania swoich elektronicznych śmieci. Konieczna jest zatem ochrona serwera przed takimi praktykami i obecnie omówimy niezbędne do tego środki.

Reklamowe e-maile stały się prawdziwą zmorą Internetu. Firmy trudniące się tym zawodowo zalewają serwery pocztowe i grupy dyskusyjne miliardami niechcianych wiadomości. Stanowi to źródło rosnącej irytacji użytkowników i administratorów systemów. Adresatem tych agresywnych działań marketingowych może być każdy, kto ma własny adres pocztowy. I mało komu jest to oszczędzone.

Już w styczniu 2001 roku opracowanie Niepożądana korespondencja komercyjna a ochrona danych, wykonane na zlecenie Unii Europejskiej (www.europa.eu.int) mówiło o 20 miliardach maili reklamowych dziennie. Z kolei wewnętrzny dokument firmy GMX, dostawcy usług internetowych, analizujący okres od maja do lipca 2002 roku, przedstawia jeszcze bardziej dramatyczny obraz - co siódmy e-mail z serwerów zewnętrznych to spam, który został odrzucony przez GMX. Tak więc filtry antyspamowe odrzucały 900 maili na minutę.

Nie tylko uciążliwe. Klienty pocztowe, takie jak Outlook, są zagrożone, ponieważ spamerzy starają się również przemycić swoje dialery.

Nie tylko uciążliwe. Klienty pocztowe, takie jak Outlook, są zagrożone, ponieważ spamerzy starają się również przemycić swoje dialery.

Zło, jakim jest spam, polega nie tylko na tym, że sortowanie i usuwanie listów jest czasochłonne. Spamerzy często załączają kod HTML lub Javy, żeby przemycić do komputera odbiorcy dialery lub inne złośliwe narzędzia. Aby skutecznie uniemożliwić tego rodzaju wątpliwą działalność marketingową, należy z góry podjąć odpowiednie działania zaradcze. W dalszym ciągu tekstu wyjaśnimy między innymi, jak zapobiec wykorzystywaniu własnego serwera pocztowego do nieautoryzowanego relayingu oraz jak bronić się przed spamem.

Jak działają spamerzy?

Spamer nie jest, oczywiście, zainteresowany tym, żeby ktoś mu się dobrał mu do skóry. Wysyłając swoją pocztę, szuka więc anonimowości. Ma twiele możliwości:

  • relaying - wykorzystanie niedostatecznie zabezpieczonego serwera SMTP do niepostrzeżonego wysyłania poczty;

  • smarthost - spamer ustawia własny serwer SMTP, który wysyła pocztę bezpośrednio do skrzynek odbiorczych, z pominięciem innych serwerów;

  • proxy - spamer może ukryć swój adres IP za otwartym serwerem proxy, zacierając w ten sposób ślad prowadzący do siebie.
Dzięki odpowiedniej konfiguracji struktury serwera pocztowego można zablokować dużą część spamu już na przedpolu, chroniąc w ten sposób użytkowników poczty przed niedogodnościami. Pierwszym krokiem w kierunku budowy odpornego na spam serwera pocztowego jest zabezpieczenie go przed wykorzystaniem do relayingu.

Relaying - nieautoryzowane wysyłanie poczty

Relaying niemożliwy? A jednak możliwy, gdyż ten komputerma otwarty proxy w porcie 3128, który spamer może wykorzystaćdo wyrządzenia szkód.

Relaying niemożliwy? A jednak możliwy, gdyż ten komputerma otwarty proxy w porcie 3128, który spamer może wykorzystaćdo wyrządzenia szkód.

Spamerzy zasadniczo do wysyłania poczty nie używają własnych, oficjalnych serwerów. Przyjętą praktyką jest wykorzystywanie do tego celu cudzych serwerów SMTP. Takie działanie określa się jako relaying. Powody są oczywiste: anonimowość, oszczędność kosztów i czasu.

Spamer nie musi się przy tym wiele natrudzić - najpierw za pomocą specjalnych narzędzi przeszukuje zakresy adresów IP w poszukiwaniu komputerów, w których otwarty jest port 25 (SMTP). Nawiązuje połączenie z takim komputerem i próbuje wysłać e-mail na konto u dostawcy bezpłatnych kont pocztowych, np. relaytest@dostawca.com.

Jeżeli e-mail zostanie odebrany, można wykorzystać komputer do relayingu. Jeżeli spamer znajdzie dostatecznie dużo takich komputerów, za pomocą innych narzędzi stara się wysłać jak najwięcej poczty, zanim zostaną ewentualnie uszczelnione.

Jeżeli serwer jest często wykorzystywany do relayingu, może w końcu trafić na tzw. czarną listę serwerów, z których inne serwery SMTP nie odbierają poczty. W skrajnym przypadku nie da się z niego w ogóle wysyłać poczty. Relaying jest w wielu krajach nielegalny, a ponadto oznacza dodatkowe kłopoty dla właściciela zaatakowanego serwera:

  • ponosi on koszty przesyłania ogromnych ilości danych;

  • olbrzymia liczba e-maili obciąża jego infrastrukturę;

  • najprawdopodobniej będzie atakowany przez rozzłoszczonych odbiorców spamu;

  • może trafić na czarną listę, a w rezultacie niektóre serwery nie będą odbierały poczty od jego użytkowników.
Sprawdź swój serwer

Zacieranie śladów. Otwarty serwer proxy może służyć spameromdo manipulowania i ukrywania swojego adresu IP.

Zacieranie śladów. Otwarty serwer proxy może służyć spameromdo manipulowania i ukrywania swojego adresu IP.

Jeżeli masz własny serwer SMTP połączony z Internetem, sprawdź, czy jest odporny na relaying. Masz kilka możliwości. Na stronach abuse.net ( http://www.abuse.net ) znajdziesz odpowiedni test. Możesz za jego pomocą szybko sprawdzić, w jakim stopniu twój serwer jest zabezpieczony przed relayingiem. Narzędzie testowe wypróbuje na nim wiele znanych trików i przedstawi ci wyniki w czytelnej postaci.

Inną możliwość testowania oferuje Open Relay Database ( http://www.ordb.org ). Za pomocą tej bazy danych administratorzy systemów blokują wymianę poczty elektronicznej z otwartymi relay-serwerami. Każdy może przetestować swój serwer pocztowy na stronach organizacji. Jest w tym jednak pewien haczyk - jeżeli wynik testu będzie pozytywny, to znaczy, gdy twój serwer przesłał pocztę jako relay, automatycznie znajdzie się na liście Open Relay Database. Niektóre systemy mogą w pewnych okolicznościach nie akceptować poczty z twojego serwera.

Więcej informacji na temat Open Relay Database znajdziesz pod adresem http://www.ordb.org/faq/ . Jest tam wiele wskazówek, jak przeprowadzać testy z różnymi serwerami pocztowymi, np. z Sendmail.

Test nie zaliczony - co dalej?

Trzy serwery - do testu wystąp: weryfikacja pozytywna, czy Blackhole Lists?

Trzy serwery - do testu wystąp: weryfikacja pozytywna, czy Blackhole Lists?

Ponieważ serwer SMTP musi rozpoznawać i blokować nieautoryzowany relaying, w każdej sesji SMTP są cztery elementy o różnym poziomie bezpieczeństwa do identyfikacji nadawcy i odbiorcy:

Oba pierwsze punkty (HELO i MAIL) mogą zawierać dowolne dane i często jest tak w rzeczywistości, a więc nie można im ufać. Zamiast tego serwer pocztowy powinien zezwalać na relaying na podstawie następującej kombinacji: RCPT to: adres (nazwa domeny), SMTP_CALLER nazwa domeny oraz SMTP_CALLER adres IP. Zalecane jest przy tym stosowanie następującego algorytmu:

Jeżeli w przypadku RCPT to chodzi o jedną z "własnych" domen, wówczas ma ono charakter lokalny; jeśli własny serwer pocztowy akceptuje przesyłanie e-maili do tej domeny (MX rekord), wówczas przesyłanie jest dozwolone.

Jeżeli nazwa domeny (względnie adres IP) podana w SMTP_CALLER jest znana i autoryzowana, relaying jest akceptowany. We wszystkich pozostałych przypadkach relaying jest blokowany.

Witryna www.abuse.net pozwala sprawdzić, czy twój serwer SMTP umożliwia nieautoryzowany relaying.

Witryna www.abuse.net pozwala sprawdzić, czy twój serwer SMTP umożliwia nieautoryzowany relaying.

Dodatkowo serwer SMTP powinien sprawdzać nazwę domeny podaną w MAIL from pod względem poprawności. Jeżeli zapytanie do DNS nie da wyniku, nazwa domeny nie istnieje. W ten sposób wprowadzamy jeszcze jeden mechanizm uniemożliwiający relaying, niezależny od pozostałych.

Dalsze metody blokowania relayingu

Kolejną skuteczną metodą zabezpieczenia przed nieautoryzowanym relayingiem jest uwierzytelnianie SMTP, tzw. smtp-auth. Serwer pocztowy zezwala na przesyłanie wiadomości tylko tym klientom, którzy zidentyfikują się ważną kombinacją nazwy użytkownika i hasła. Procedura ta jest zgodna z quasi-standardem RFC 2554, obsługiwanym przez najpopularniejsze klienty pocztowe.

Niektórzy dostawcy usług nie stosują uwierzytelniania SMTP, ponieważ nie jest obsługiwane przez wszystkie systemy. Zamiast tego relaying jest włączany dynamicznie. Klient, tak jak dotychczas, ściąga swoje nowe wiadomości przez POP3 lub IMAP4, identyfikując się przy tym w stosunku do serwera za pomocą nazwy użytkownika i hasła i przekazując swój adres IP. Serwer pocztowy zezwala temu adresowi IP na wysyłanie e-maili przez określony czas, z reguły 10 do 15 minut. W przypadku SMTP after POP trzeba zatem przed wysłaniem e-maila co najmniej raz sprawdzić odpowiednie konto pocztowe POP3.


Zobacz również