Wojna z wiatrakami

Mało kto zdaje sobie sprawę, że zjawisko spamu, czyli niechcianej korespondencji, rozwija się na skutek niefrasobliwości administratorów. Wiele serwerów pocztowych udostępnia funkcję mail relay, która pozwala nie autoryzowanemu użytkownikowi zewnętrznemu wysłać nieograniczoną liczbę wiadomości do dowolnych adresatów. Przy biernej postawie administratorów, z nie zabezpieczonych cudzych serwerów chętnie korzystają nadawcy spamu.

Mało kto zdaje sobie sprawę, że zjawisko spamu, czyli niechcianej korespondencji, rozwija się na skutek niefrasobliwości administratorów. Wiele serwerów pocztowych udostępnia funkcję mail relay, która pozwala nie autoryzowanemu użytkownikowi zewnętrznemu wysłać nieograniczoną liczbę wiadomości do dowolnych adresatów. Przy biernej postawie administratorów, z nie zabezpieczonych cudzych serwerów chętnie korzystają nadawcy spamu.

W obronie skrzynek

Wybrane serwisy internetowe prowadzące listy serwerów pośredniczących w rozsyłaniu niechcianej korespondencji:

MAPShttp://www.mail-abuse.org

Spamhouse Projecthttp://www.spamhous.org/sbl

Open Relay Spam Stopperhttp://relays.osirusoft.com

Spam Prevention Early Warning Systemhttp://www.spews.org

SpamBag http://www.spambag.org

Szybki kurs MBA, rewelacyjny substytut viagry, tanie ubezpieczenie na życie, najprzeróżniejsze usługi erotyczne... Codziennie do naszych skrzynek pocztowych trafiają elektroniczne reklamówki. Spamu nie da się całkowicie uniknąć, ale można na różne sposoby starać się ograniczyć liczbę niechcianych wiadomości. Można zastosować oprogramowanie automatycznie filtrujące korespondencję lub tak skonfigurować klienta pocztowego, by automatycznie grupował w oddzielnym folderze reklamówki internetowe. Jednak przed podjęciem jakichkolwiek działań prewencyjnych każdy administrator poczty powinien sprawdzić, czy zarządzany przez niego serwer nie służy do rozsyłania spamu.

Sprzątanie własnego podwórka

Jeżeli serwer nie został należycie zabezpieczony, to zewnętrzny nadawca może wykorzystać go do przesłania poczty elektronicznej. Nadawca ukrywa w ten sposób swoją tożsamość, co pozwala mu uniknąć sankcji prawnych wynikających z różnych internetowych regulaminów. W nagłówku listu znajdzie się informacja, że rzekomym nadawcą jest serwer wykorzystany przez nie autoryzowanego użytkownika.

Serwer, który pozwala na przeprowadzenie takiej operacji, nazywa się relay lub mail relay. W większości przypadków administrator nawet nie zdaje sobie sprawy, że jego serwer może być lub jest wykorzystywany do przesyłania cudzej poczty. W tym kontekście zjawisko rozsyłania spamu można traktować jak specyficzną odmianę ataku DoS, który jedna z definicji określa jako "wykorzystanie mocy przetwarzania serwera w nie autoryzowany sposób". Korespondencja rozsyłana za plecami administratora do setek tysięcy odbiorców może znacznie obciążać łącza internetowe firmy, uniemożliwiając ich efektywne wykorzystywanie do innych zadań, np. udostępniania firmowej strony WWW. Ale na tym nie koniec. Odbiorcy przesyłanego przez dany serwer spamu mogą łatwo sprawdzić nazwę i adres IP komputera, z którego przyszedł list. Jeśli spam dotrze do klientów firmy, której serwer pocztowy został wykorzystany, może przekładać się to na utratę zaufania do partnera. Skoro bowiem serwer pocztowy firmy pozwala przesłać dowolną korespondencję, to skąd pewność, że otrzymane wcześniej wiadomości rzeczywiście pochodziły od pracownika tej firmy czy nie zostały sfabrykowane przez konkurencję?

Skutkiem niedopilnowania zabezpieczeń może być zgłoszenie przez odbiorcę spamu adresu serwera przesyłającego wiadomości do organizacji, zajmującej się zwalczaniem rozsyłania niechcianej korespondencji w Internecie (o tym, jak to wykonać, piszemy w dalszej części artykułu). Organizacje takie działają bardzo szybko: automatycznie weryfikują zasadność zgłoszenia (testują, czy wskazany serwer udostępnia funkcję relay) i jeśli podejrzenie zostanie potwierdzone, adres serwera jest wpisywany na "czarną listę".

Sprawdź się

Standardowo każdy dostępny serwer pocztowy umożliwia przesyłanie "przez niego" poczty z wykorzystaniem protokołu SMTP. Trudno o lepszą zachętę dla nadawców spamu. Aby przeciwdziałać rozwojowi spamu, komitet normalizacyjny IETF opublikował w lutym 1999 r. dokument RFC 2505, zatytułowany Anti-Spam Recomendations for SMTP MTAs. Szeroko wyjaśnia on problem niechcianej korespondencji i precyzuje, jaką funkcjonalność powinny oferować pocztowe, komunikujące się z Internetem, by zmniejszyć natężenie tego zjawiska. Spośród kilkunastu zaleceń opublikowanych w dokumencie dwa bezpośrednio odnoszą się do zjawiska relayingu, czyli system pocztowy musi:

  • uniemożliwiać nie autoryzowane wykorzystanie;

  • zwracać różne komunikaty błędów w zależności od przyczyn niepowodzenia w przesłaniu poczty.

    Zgodnie z pierwszą wytyczną, serwer pocztowy odbierający informację do przesłania powinien każdorazowo weryfikować, czy korespondencja jest przeznaczona dla odbiorcy, którego skrzynka znajduje się na tym serwerze, lub jeśli adres docelowy nie jest adresem firmowym, czy nadawcą takiej wiadomości jest użytkownik lokalny. O ile pierwszy przypadek nie wymaga żadnej dodatkowej autoryzacji nadawcy (może nim być dowolny serwer na świecie), o tyle w drugim - konieczne jest sprawdzenie czy użytkownik podający się za lokalnego nadawcę rzeczywiście nim jest. Najłatwiej to uczynić wymuszając identyfikację poprzez podanie identyfikatora i hasła konta związanego bezpośrednio z adresem nadawcy.

    Alternatywną formą weryfikacji nadawcy, próbującego wysłać wiadomość na adres poza siecią firmową, może być sprawdzenie, czy używa on numeru IP dozwolonego przez serwer pocztowy (można ograniczyć pulę numerów IP do tych wykorzystywanych w firmie). Zastosowanie wyłącznie tej metody uniemożliwi jednak przesyła- nie poczty z wykorzystaniem SMTP/POP3 przez użytkowników pracujących zdalnie i korzystających z dostępu modemowego (mogą wysyłać wiadomości, o ile połączą się z firmą przez VPN).

    Serwer dobrze zabezpieczony przed nie autoryzowanym przesyłaniem poczty powinien jak najszybciej kończyć komunikację z potencjalnymi spamerami (przykład takiego działania prezentujemy na rysunku obok). Brak możliwości wykonania funkcji relay powinien być komunikowany natychmiast po stwierdzeniu, że przesłanie e-maila do danego adresata jest niezgodne z zasadami routingu zdefiniowanymi na serwerze, czyli jeszcze przed przyjęciem treści wiadomości. Tylko w ten sposób można bowiem "zaoszczędzić" moc niezbędną na przetworzenie wiadomości przez serwer.