Alarm dla serwerów pocztowych

Nowe zjawisko masowych odpowiedzi na niewysłane listy - backscatter - może prowadzić do blokady serwerów pocztowych, o ile administratorzy nie zmodyfikują ich konfiguracji.

Nowe zjawisko masowych odpowiedzi na niewysłane listy - backscatter - może prowadzić do blokady serwerów pocztowych, o ile administratorzy nie zmodyfikują ich konfiguracji.

Kolejna sztuczka spamerów oszukująca filtry to masowa propagacja odpowiedzi na niewysyłane listy. Coraz większa liczba użytkowników zaczyna dostawać masową, wyjątkowo denerwującą korespondencję z informacjami, że ich listy nie zostały z różnych powodów dostarczone do adresata.

Zmasowane odpowiedzi

2-3%

listów przesyłanych w sieci to - wg Sophos - maile informu-jące o blokowaniu lub braku możliwości dostarczania nigdy niewysyłanych listów.

Tego typu zwrotne informacje o niewłaściwym adresie pocztowym lub też zablokowaniu wysyłanej poczty przez filtry antyspamowe - generowane przez uprawnione serwery pocztowe - wydają się świadczyć, że jakaś informacja np. spam oferujący Viagrę, został rzeczywiście wysłany z konta użytkownika, co powoduje podejrzenie, że jego komputer mógł zostać zaatakowany i włączony do sieci botnet. Jednak skanowanie systemu przez oprogramowanie antywirusowe (sprawdzające również programy rootkit, szpiegowskie itd.) z reguły nie daje widocznego efektu. Komputer jest "czysty", mimo że zalewany przez maile informujące o blokowaniu lub braku możliwości dostarczania nigdy nie wysyłanych listów.

Producent oprogramowania antywirusowego Sophos ocenia, że obecnie 2-3% listów przesyłanych w sieci to tego typu odpowiedzi. Jednak liczba ta ostatnio bardzo szybko rośnie. Na razie nie stwarza to jeszcze problemów w korporacyjnych systemach pocztowych, bo z reguły adresatami tego typu pseudo-spamu są tylko niektórzy użytkownicy w firmach. Jest to jednak poważne zagrożenie. Jak przyznaje prezes firmy Packetderm, w ubiegłym miesiącu serwer internetowy tego przedsiębiorstwa został zalany falą tego typu listów, których liczba momentami sięgała 10 tys. na sekundę, co powodowało zatkanie łącza internetowego. Firmowa strona WWW została na pięć dni odłączona od sieci w oczekiwaniu na zmniejszenie tej masowej fali poczty. W najgorszym przypadku upowszechnienie tego zjawiska może spowodować ogromne problemy i zablokowanie wielu serwerów internetowych.

Prosty mechanizm

Wraz z rozwojem technologii filtrowania poczty i pojawieniem się mechanizmów umożliwiających automatyczne blokowanie listów wysyłanych z nieistniejących domen, spamerzy zostali zmuszeni do poszukiwania metod ominięcia tych zabezpieczeń. Oczywistą i znaną metodą jest wysyłanie spamu zawierającego w taki sposób spreparowane informacje o źródle, aby wskazywały one na rzeczywiście istniejącą domenę i uprawniony adres e-mail. Czasami adres użytkownika został opublikowany gdzieś w sieci, a później przechwycony przez spamerów, ale mógł też zostać wybrany przypadkowo, metodą prób i błędów. Następnie spamer umieszcza go jako adres źródłowy w swojej masowo wysyłanej poczcie. Gdy trafi ona pod nieistniejący adres, to serwer pocztowy odsyła informacje - oczywiście wykorzystując adres umieszczony w polu "od", a więc do niczego się niespodziewającej osoby.

Niektórzy analitycy sądzą, że pojawienie się tego zjawiska, określanego jako backscatter (rozproszenie zwrotne) w skali masowej nie jest działaniem przypadkowym, a specjalnie zaplanowanym przez spamerów. Choć podstawowy tekst odpowiedzi nie zawiera szkodliwych lub spamerskich elementów, to niektóre serwery dołączają do nich oryginalny list, a to już umożliwia rozszerzenie propagacji spamu. Oprócz tego pojawiły się również listy tego typu zawierające podejrzane linki do plików wykonywalnych umieszczonych na różnych stronach, twierdzi prof. Dan Wallach z Department of Computer Science na Rice University.

Problem trudny do rozwiązania

"Jest to bardzo poważny i otwarcie mówiąc bardzo trudny do rozwiązania problem. Choć za jego pojawienie się odpowiedzialni są przede wszystkim spamerzy, to do pewnego stopnia również administratorzy serwerów pocztowych, którzy nie zadbali o ich staranną konfigurację, która może ograniczyć możliwości propagacji spamu" - uważa Dmitry Samosseiko z Sophos Labs. Ponieważ listy typu backscatter są generowane przez uprawnione i zaufane serwery pocztowe, ich eliminacja stwarza szczególny problem. Odpowiedzi takie są bardzo trudne do odfiltrowania i praktycznie nie ma obecnie uniwersalnej metody rozwiązania tego problemu. Można jednak przynajmniej ograniczyć jego zasięg odpowiednio konfigurując serwery i aplikacje pocztowe.

Backscatter najczęściej ma trzy podstawowe formy: serwer informuje, że adres, na który list został wysłany nie istnieje, wysyła odpowiedź typu "nie ma mnie w biurze" (out of office) lub żąda potwierdzenia, że list został wysłany z tego adresu (ma to m.in. umożliwić eliminację listów wysyłanych przez automaty). Dwa ostatnie typy informacji zwrotnych można wyeliminować, jeśli użytkownicy i administratorzy zdecydują się na wyłączenie i niekorzystanie z odpowiednich funkcji. Również pierwszy typ odpowiedzi można usunąć - jak twierdzą eksperci ds. bezpieczeństwa - np. wykorzystując takie standardy jak VERP (Variable Envelope Return Path) lub BATV (Bounce Adress Tag Validation).

Zagrożenie można by istotnie ograniczyć, gdyby administratorzy serwerów pocztowych masowo zmodyfikowali ich konfigurację tak, aby następowało automatyczne odrzucanie listów przesyłanych na adresy nieistniejące w domenie, zamiast przyjmowania ich i generowania odpowiedzi do nadawcy. Niektórzy ze znanych dostawców usług internetowych, jak AOL, już zastosowali tego typu metodę, co istotnie ograniczyło liczbę generowanego w ten sposób spamu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200